Dark Mirai Botnet

Pomimo tego, że botnet Mirai został zamknięty lata temu, jego dziedzictwo nadal istnieje. Po opublikowaniu kodu źródłowego botnetu wielu cyberprzestępców wykorzystało go jako podstawę do stworzenia własnych wersji szkodliwego oprogramowania. Jedna z wciąż aktywnych odgałęzień Mirai jest śledzona przez społeczność infosec jako Dark Mirai (aka MANGA). Według naukowców z firmy Fortinet, którzy monitorują aktywność tego botnetu, jego operatorzy nadal wyposażają go w nowe luki w zabezpieczeniach, które można wykorzystać.

Jeden z najnowszych, który zostanie dodany do Dark Mirai, ma wpływ na linię popularnych domowych routerów TP-Link. Dokładniej, model, którego dotyczy problem, to TL-WR840N EU V5 wydany w 2017 roku. Szczególna usterka — CVE-2021-41653 umożliwia uwierzytelnionemu użytkownikowi wykonywanie poleceń na urządzeniu ze względu na podatną zmienną „host". Należy zauważyć, że TP-Link rozwiązał ten problem, wydając aktualizację oprogramowania 12 listopada 2021 r., więc hakerzy Dark Mirai oczekują, że użytkownicy nie zaktualizują swoich urządzeń i pozostaną podatni na ataki.

Po wykryciu odpowiedniego urządzenia atakujący wykorzystają lukę CVE-2021-41653 do pobrania, a następnie wykonania skryptu o nazwie „tshit.sh". Skrypt ten jest następnie odpowiedzialny za pobranie głównych ładunków za pomocą dwóch żądań. Ze względu na to, że atakujący muszą zostać uwierzytelnieni, użytkownicy, którzy nadal używają domyślnych danych uwierzytelniających dla swojego routera, są najbardziej narażeni na ataki.

Po wdrożeniu Dark Mirai zidentyfikuje architekturę zainfekowanego routera, a następnie przystąpi do pobrania odpowiedniego ładunku. Zagrożenie następnie odizoluje urządzenie przed potencjalną infiltracją innych konkurencyjnych botnetów poprzez zamknięcie kilku często atakowanych portów. Dark Mirai pozostanie wtedy uśpiony, czekając na polecenia ze swojego serwera dowodzenia i kontroli (C&C).