Το Dark Mirai Botnet στοχεύει τους δρομολογητές TP-LINK TL-24840N
Το Dark Mirai Botnet είναι μια από τις πολλές παραλλαγές του Mirai Botnet, το οποίο αποτελεί απειλή για τις συσκευές IoT τα τελευταία πέντε χρόνια. Ενώ το αρχικό έργο είναι νεκρό εδώ και πολύ καιρό, ο διαθέσιμος στο κοινό πηγαίος κώδικας συνεχίζει να χρησιμοποιείται από χειριστές κακόβουλου λογισμικού. Το Dark Mirai Botnet είναι μόνο ένα από τα πολλά έργα που το κάνουν αυτό.
Αυτό το botnet ειδικεύεται σε επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS) και πρόσφατα πρόσθεσε ένα νέο exploit στη συλλογή τεχνικών επίθεσης. Αυτή η συγκεκριμένη ευπάθεια επηρεάζει έναν δρομολογητή TP-LINK, ο οποίος κυκλοφόρησε το 2017 – τον TL-WR840N EU V5. Η ευπάθεια έχει ήδη επιδιορθωθεί στην τελευταία ενημέρωση υλικολογισμικού για το υλικό, αλλά, δυστυχώς, πολλοί χρήστες εξακολουθούν να εκτελούν μια παλιά έκδοση.
Η ευπάθεια, που ταξινομείται ως CVE-2021-41653, επιτρέπει την απομακρυσμένη εκτέλεση κώδικα για επαληθευμένους χρήστες. Οι εγκληματίες το χρησιμοποιούν για να εκτελέσουν ένα σενάριο bash, το οποίο θα κατέβαζε το τελικό ωφέλιμο φορτίο. Επιπλέον, το σενάριο κάνει τροποποιήσεις στη διαμόρφωση του δρομολογητή προκειμένου να αποκλείσει συγκεκριμένες θύρες, αποτρέποντας έτσι τη μόλυνση από άλλα botnet. Είναι σημαντικό να προσθέσουμε ότι το Dark Mirai Botnet μπορεί να αναλάβει μόνο συσκευές που χρησιμοποιούν τα προεπιλεγμένα διαπιστευτήρια σύνδεσης – αυτή η ευπάθεια δεν μπορεί να χρησιμοποιηθεί χωρίς διαπιστευτήρια διαχειριστή.
Μόλις το εμφύτευμα λειτουργεί, οι εγκληματίες μπορούν να το ελέγξουν εξ αποστάσεως, δίνοντάς του εντολή να εκτελέσει μια επίθεση DDoS. Φαίνεται ότι το Dark Mirai Botnet δεν έχει άλλη χρήση και οι εγκληματίες το χρησιμοποιούν αποκλειστικά για να μεταφέρουν υπηρεσίες και ιστότοπους εκτός σύνδεσης. Η προστασία των συσκευών σας από το Dark Mirai Botnet και παρόμοιες απειλές μπορεί να γίνει χρησιμοποιώντας το πιο πρόσφατο διαθέσιμο υλικολογισμικό και επιλέγοντας έναν ασφαλή κωδικό πρόσβασης για όλους τους λογαριασμούς με αυξημένα προνόμια.
