Aquabot Botnet
Ir atklāts uz Mirai balstīts robottīkla variants, kas pazīstams kā Aquabot, un tas aktīvi mēģina izmantot drošības trūkumu, kas ietekmē Mitel tālruņus. Uzbrucēju mērķis ir integrēt šīs ierīces robottīklā, kas spēj uzsākt DDoS (Distributed Denial-of-Service) uzbrukumus.
Satura rādītājs
Ievainojamība fokusā: CVE-2024-41710
Mērķtiecīgajai drošības nepilnībai CVE-2024-41710 ir CVSS punkts 6,8, un tas izriet no komandu ievadīšanas ievainojamības sāknēšanas procesā. Šī kļūda var ļaut uzbrucējiem izpildīt patvaļīgas komandas tālruņa darbības vidē.
Ietekmētās ierīces un ielāpu informācija
Ievainojamība ietekmē vairākus Mitel tālruņu modeļus, tostarp 6800. sērijas, 6900. sērijas, 6900. w sērijas SIP tālruņus un 6970. konferenču bloku. Mitels pievērsās šai problēmai 2024. gada jūlijā, taču augustā kļuva publiski pieejams koncepcijas pierādījums (PoC), kas, iespējams, pavērs durvis apdraudējuma dalībniekiem.
Vairāk nekā viena ievainojamība pakalpojumā Play
Ir novērots, ka Aquabot ne tikai CVE-2024-41710 ir vērsta uz papildu ievainojamību, tostarp CVE-2018-10561, CVE-2018-10562, CVE-2018-17532, CVE-2022-31137 un CVE-2023. Robottīkls ir arī mēģinājis izmantot attālās koda izpildes trūkumu Linksys E-sērijas ierīcēs, norādot uz plašu uzbrukuma virsmu.
Aquabot: uz Mirai balstīts robottīkls ar vēsturi
Aquabot ir robottīkls, kas atvasināts no bēdīgi slavenā Mirai ietvara, kas ir īpaši izstrādāts DDoS uzbrukumu izpildei. Pētnieki ir izsekojuši tās darbību kopš 2023. gada novembra, un ir pierādījumi par nepārtrauktu attīstību.
Trūkuma izmantošana: uzbrukuma mehānisms
Pirmās pazīmes, kas liecina par aktīvu izmantošanu pret CVE-2024-41710, parādījās 2025. gada janvāra sākumā. Uzbrucēji izvieto robottīkla ļaunprogrammatūru, izpildot čaulas skriptu, kas izgūst apdraudošo lietderīgo slodzi, izmantojot komandu “wget”. Uzbrukuma metode ļoti atgādina publiski pieejamo PoC izmantošanu.
Zaļāks un uzlabots variants
Šķiet, ka šajos uzbrukumos iesaistītais Aquabot variants ir trešā ļaunprātīgās programmatūras atkārtošanās. Tas ievieš jaunu “report_kill” funkciju, kas ziņo Command-and-Control (C2) serverim ikreiz, kad tiek pārtraukts robottīkla process. Tomēr nav pierādījumu, ka šī funkcija izraisītu tūlītēju atbildi no servera.
Turklāt jaunais variants tiek maskēts kā “httpd.x86”, lai izvairītos no atklāšanas, un ir ieprogrammēts, lai pārtrauktu konkrētus procesus, piemēram, lokālos apvalkus. Šie uzlabojumi liecina par centieniem padarīt Aquabot izvairīgāku un, iespējams, atklāt konkurējošu robottīklu darbību.
Piekļuves pārdošana: Pazemes DDoS operācija nomāšanai
Pazīmes norāda uz draudiem, kas darbojas aiz Aquabot, kas piedāvā savu robottīklu kā DDoS pakalpojumu Telegram. Tie darbojas ar tādiem aizstājvārdiem kā Cursinq Firewall, The Eye Services un The Eye Botnet, izmantojot apdraudētos saimniekdatorus, lai nodrošinātu uzbrukuma iespējas maksājošiem klientiem.
Lielāka aina: Mirai ieilgušie draudi
Uz Mirai balstītu draudu, piemēram, Aquabot, atdzimšana uzsver pastāvīgos riskus, kas saistīti ar internetam pieslēgtām ierīcēm. Daudzas no šīm ierīcēm cieš no neatbilstošas drošības, novecojušas programmatūras vai noklusējuma akreditācijas datiem, padarot tās par vienkāršu izmantošanu.
Uzbrucēju maldinošs pamatojums
Draudu dalībnieki bieži apgalvo, ka viņu robottīklu darbības ir paredzētas tikai testēšanas vai izglītības nolūkos, mēģinot maldināt pētniekus un tiesībaizsardzības iestādes. Tomēr turpmāka analīze bieži atklāj viņu patiesos nodomus — piedāvāt DDoS pakalpojumus vai atklāti lepoties ar savām robottīklu aktivitātēm pagrīdes forumos un Telegram kanālos.
