Mirai_ptea botnet

W ramach aktywnych operacji zagrażających wykryto nowy wariant oparty na niesławnym botnecie Mirai. Nowe zagrożenie, nazwane przez badaczy złośliwego oprogramowania Mirai_ptea, wykorzystuje lukę w urządzeniach DVR KGUARD. Niektóre szczegóły dotyczące konkretnej luki są utrzymywane w tajemnicy, ale w skrócie, umożliwia to cyberprzestępcom dostęp do programu rsSystemServer w oprogramowaniu sprzętowym rejestratora KGUARD, a następnie nasłuchiwanie na porcie 56*** w 0.0.0.0 w celu zdalnego wykonania dowolnych poleceń systemowych , bez konieczności uwierzytelniania się. Należy zauważyć, że ten konkretny exploit został naprawiony w wersjach oprogramowania sprzętowego wydanych po 2017 roku. Mimo to analitycy infosec odkryli około 3000 podatnych na ataki urządzeń, które mogą zostać zhakowane przez Mirai_ptea. Wydaje się, że większość urządzeń, które zostały już naruszone, znajduje się w Stanach Zjednoczonych, a następnie w Korei i Brazylii.

Zdolności grożące

Botnet Mirai zyskał rozgłos w 2016 r., a wkrótce potem jego kod źródłowy wyciekł na forach hakerskich, skutecznie zmieniając zagrożenie w złośliwe oprogramowanie o otwartym kodzie źródłowym. Od tego czasu pozbawieni skrupułów cyberprzestępcy tworzą liczne zagrożenia, w różnym stopniu polegając na oryginalnym kodzie Mirai. Jeśli chodzi o Mira_ptea, analiza jego kodu i działań pokazuje, że na poziomie zachowania gospodarza jest on prawie identyczny z Mirai. Główne różnice dotyczą sposobu, w jaki Mirai_ptea obsługuje ruch sieciowy. W rzeczywistości jego nazwa wywodzi się od dwóch z nich - użycia proxy TOR do komunikacji z serwerem Command-and-Control (C2, C&C) oraz polegania na TEA (Tine Encryption Algorithm) do maskowania wrażliwych danych zasobów. Główną groźną funkcjonalnością Mirai_ptea jest przeprowadzanie ataków DDoS (Distributed Denial-of-Service), a zagrożenie zostało wykorzystane w aktywnych atakach na wybrane cele.