Ботнет Mirai_ptea

Новый вариант, основанный на печально известном ботнете Mirai, был обнаружен как часть активных угрожающих операций. Новая угроза, названная исследователями вредоносных программ Mirai_ptea, использует уязвимость в устройствах KGUARD DVR. Некоторые сведения о конкретной уязвимости хранятся в секрете, но, вкратце, она позволяет злоумышленникам получить доступ к программе rsSystemServer в прошивке KGUARD DVR, а затем прослушивать порт 56 *** в 0.0.0.0 для удаленного выполнения произвольных системных команд , без необходимости аутентифицировать себя. Следует отметить, что именно этот эксплойт был исправлен в версиях прошивки, выпущенных после 2017 года. Тем не менее, исследователи информационной безопасности обнаружили около 3000 уязвимых устройств, которые могут быть скомпрометированы Mirai_ptea. Похоже, что большинство уже взломанных устройств находится в США, за которыми следуют Корея и Бразилия.

Угрожающие возможности

Ботнет Mirai получил известность еще в 2016 году, и вскоре после этого его исходный код просочился на хакерские форумы, что фактически превратило угрозу в вредоносное ПО с открытым исходным кодом. С тех пор недобросовестные киберпреступники создают множество угроз, в разной степени полагаясь на исходный код Mirai. Что касается Mira_ptea, анализ его кода и действий показывает, что на уровне поведения хоста он практически идентичен Mirai. Основные различия обнаруживаются в способе обработки сетевого трафика Mirai_ptea. Фактически, его название произошло от двух из них - использования TOR Proxy для связи с сервером Command-and-Control (C2, C&C) и использования TEA (Tine Encryption Algorithm) для маскировки конфиденциальных данных ресурсов. Основная опасная функция Mirai_ptea - проведение DDoS-атак (распределенного отказа в обслуживании), и эта угроза использовалась в активных атаках против избранных целей.