Beastmode Botnet

Kod źródłowy niesławnego botnetu Mirai został udostępniony opinii publicznej w 2016 r. Cyberprzestępcy nie marnowali czasu i zaczęli nadużywać nowo odkrytego dostępu do kodu, aby tworzyć własne warianty botnetu. Nawet sześć lat później Mirai wciąż jest używany jako podstawa dla nowych potężnych maski. Jednym z przykładów jest botnet Beastmode, który wciąż jest aktywnie i stale rozwijany.

Rzeczywiście, badacze infosec zaobserwowali, że Beastmode zaktualizował swój arsenał wykorzystywanych luk, dodając teraz 5 nowych. Trzy z nich - CVE-2022-26210, CVE-2022-26186 oraz rodzina luk od CVE-2022-25075 do 25084, mogą zostać wykorzystane do zhakowania routerów TOTOLINK. Exploity zostały dodane do zagrożenia zaledwie tydzień po opublikowaniu na GitHub. Ponadto botnet atakuje również kilka przestarzałych produktów D-LINK za pośrednictwem luki CVE-2021-45382. Produkty należące do TP-Link, Huwaei, NETGEAR i NUUO NVRmimi2 oraz NVRsolo również znalazły się wśród celów groźnej kampanii ataku Beastmode.

Główna funkcjonalność botnetu dotyczy uruchamiania ataków DDoS (Distributed Denial-of-Service). Wysyłając ogromną liczbę żądań do wybranego celu, cyberprzestępcy mogą przez dłuższy czas zakłócać normalne operacje swojej ofiary. Zarówno użytkownicy, jak i organizacje nie powinny zwlekać z aktualizacją oprogramowania sprzętowego swoich urządzeń. W końcu operatorzy botnetu Beastmode wykazali się umiejętnością szybkiego wprowadzania nowych luk w zabezpieczeniach i usuwania przypadkowych błędów. Zaledwie trzy dni zajęło im usunięcie literówki, którą badacze cyberbezpieczeństwa wykryli w adresie URL — plik „downloadFlile.cgi” używany przez obserwowane urządzenie został zastąpiony przez „downloadFile.cgi”.