Η παραλλαγή του Mirai Botnet εκμεταλλεύεται το ελάττωμα του δρομολογητή τεσσάρων πιστών για να εξαπολύσει επιθέσεις DDoS
Σε μια έντονη υπενθύμιση των αυξανόμενων κινδύνων από τα botnet, μια νέα παραλλαγή Mirai εκμεταλλεύεται ευπάθειες σε βιομηχανικούς δρομολογητές Four-Faith από τις αρχές Νοεμβρίου 2024. Αυτό το τελευταίο botnet, που ονομάζεται "gayfemboy" (ένας όρος που προέρχεται από τις προσβλητικές αναφορές πηγαίου κώδικα) , υπογραμμίζει τη διαρκή απειλή της κατανεμημένης άρνησης παροχής υπηρεσιών (DDoS) επιτίθεται και υπογραμμίζει την ανάγκη για ισχυρή άμυνα στον κυβερνοχώρο.
Με 15.000 καθημερινά ενεργές IP κατανεμημένες σε περιοχές όπως η Κίνα, το Ιράν, η Ρωσία, η Τουρκία και οι ΗΠΑ, αυτό το botnet έχει κλιμακωθεί σε καταστροφικές διαστάσεις. Η ικανότητά του να αξιοποιεί τόσο τα τρωτά σημεία zero-day όσο και μια λίστα πλυντηρίων με πάνω από 20 γνωστά ελαττώματα ασφαλείας είναι μια κλήση αφύπνισης τόσο για επιχειρήσεις όσο και για μεμονωμένους χρήστες.
Table of Contents
Η εκμεταλλευόμενη ευπάθεια: CVE-2024-12856
Στο επίκεντρο της πρόσφατης καμπάνιας του botnet βρίσκεται το CVE-2024-12856, μια ευπάθεια έγχυσης εντολών που επηρεάζει τα μοντέλα δρομολογητών Four-Faith F3x24 και F3x36. Το ελάττωμα, το οποίο έχει βαθμολογία CVSS 7,2, επιτρέπει στους εισβολείς να εκμεταλλεύονται δρομολογητές που έχουν διαμορφωθεί με αμετάβλητα προεπιλεγμένα διαπιστευτήρια.
Από την ανακάλυψή της τον Νοέμβριο του 2024, αυτή η ευπάθεια έχει αξιοποιηθεί ενεργά για την παράδοση κακόβουλων ωφέλιμων φορτίων, συμπεριλαμβανομένων των αντίστροφων κελύφους και μιας παραλλαγής κακόβουλου λογισμικού που βασίζεται στο Mirai. Στοχεύοντας δρομολογητές βιομηχανικής ποιότητας, οι εισβολείς μπορούν να αξιοποιήσουν συσκευές υψηλής σύνδεσης , ενισχύοντας την προσέγγιση και την αποτελεσματικότητα του botnet τους.
Στρατηγική επίθεσης με πολλαπλούς άξονες
Η παραλλαγή Mirai χρησιμοποιεί έναν συνδυασμό τακτικών για να μολύνει συσκευές και να μεγιστοποιεί τον αντίκτυπό της:
- Αρχική πρόσβαση μέσω αδύναμων διαπιστευτηρίων
Το botnet σαρώνει για συσκευές με αδύναμα διαπιστευτήρια Telnet ή προεπιλεγμένες εργοστασιακές ρυθμίσεις, μια κοινή επίβλεψη ασφαλείας σε πολλά συστήματα IoT και βιομηχανικά συστήματα. - Εκμετάλλευση μιας μεγάλης λίστας τρωτών σημείων
Πέρα από το CVE-2024-12856, το botnet εκμεταλλεύεται πάνω από 20 επιπλέον τρωτά σημεία, συμπεριλαμβανομένων ελαττωμάτων που χρονολογούνται από το 2013, όπως:- CVE-2013-3307
- CVE-2016-20016
- CVE-2021-35394
- Δυνατότητες κακόβουλου λογισμικού με βάση το Mirai
Μόλις αναπτυχθεί, το κακόβουλο λογισμικό υιοθετεί τεχνικές για:- Απόκρυψη κακόβουλων διεργασιών.
- Εκτελέστε εντολές για τον εντοπισμό νέων ευάλωτων συσκευών.
- Συνεχής ενημέρωση του ωφέλιμου φορτίου κακόβουλου λογισμικού.
- Εκκινήστε στοχευμένες επιθέσεις DDoS.
Η κλίμακα και ο αντίκτυπος των επιθέσεων
Το botnet έχει ενορχηστρώσει καθημερινές επιθέσεις DDoS σε εκατοντάδες στόχους, επιτυγχάνοντας κορυφές εύρους ζώνης 100 Gbps. Αν και αυτές οι επιθέσεις συχνά διαρκούν μόλις 10 έως 30 δευτερόλεπτα, η ξαφνική εισροή κίνησης μπορεί να κατακλύσει τους διακομιστές, να διαταράξει τις υπηρεσίες και να προκαλέσει σημαντική ζημιά.
Συγκεκριμένα, τον Οκτώβριο και τον Νοέμβριο του 2024 σημειώθηκε άνοδος στη δραστηριότητα του botnet, με το κακόβουλο λογισμικό να σαρώνει επιθετικά και να υπονομεύει συσκευές.
Η ευρύτερη απειλή Botnet
Αυτή η τελευταία παραλλαγή του Mirai αποτελεί μέρος μιας μεγαλύτερης τάσης εγκληματιών του κυβερνοχώρου που εκμεταλλεύονται ευπάθειες στο IoT και βιομηχανικές συσκευές για την κατασκευή botnets . Παρόμοιες καμπάνιες περιλαμβάνουν:
- Προειδοποίηση Juniper Networks : Κακόβουλοι παράγοντες που στοχεύουν προϊόντα Session Smart Router (SSR) με προεπιλεγμένους κωδικούς πρόσβασης για τη διάδοση κακόβουλου λογισμικού Mirai.
- Αναφορά Akamai : Μολύνσεις Mirai που οπλίζουν ελαττώματα απομακρυσμένης εκτέλεσης κώδικα στα DVR του DigiEver.
Αυτά τα περιστατικά αντικατοπτρίζουν μια ανησυχητική πραγματικότητα: καθώς οι συσκευές παραμένουν εσφαλμένες ή μη επιδιορθωμένες, οι εισβολείς θα συνεχίσουν να τις εκμεταλλεύονται για να αναπτύξουν τους στρατούς των botnet τους.
Πώς να προστατευτείτε από τα Mirai Botnets και τις επιθέσεις DDoS
Δεδομένης της επίμονης και εξελισσόμενης απειλής των botnet που βασίζονται στο Mirai, είναι σημαντικό για τους οργανισμούς και τους χρήστες να υιοθετήσουν ολοκληρωμένα μέτρα ασφαλείας:
- Αλλαγή προεπιλεγμένων διαπιστευτηρίων
Αντικαταστήστε τους εργοστασιακά προεπιλεγμένους κωδικούς πρόσβασης σε όλες τις συσκευές με ισχυρά, μοναδικά διαπιστευτήρια. - Ενημερώστε και ενημερώστε τις συσκευές τακτικά
Διατηρήστε το υλικολογισμικό και το λογισμικό του δρομολογητή ενημερωμένα για να μετριαστούν γνωστά τρωτά σημεία όπως το CVE-2024-12856. - Εφαρμογή τμηματοποίησης δικτύου
Απομονώστε IoT και βιομηχανικές συσκευές από κρίσιμα δίκτυα για να περιορίσετε την πλευρική κίνηση. - Παρακολούθηση για ασυνήθιστη κυκλοφορία
Χρησιμοποιήστε συστήματα ανίχνευσης εισβολής (IDS) και εργαλεία παρακολούθησης που βασίζονται σε ανωμαλίες για να εντοπίσετε ασυνήθιστα μοτίβα κυκλοφορίας ενδεικτικά της δραστηριότητας DDoS. - Ανάπτυξη λύσεων Anti-DDoS
Η προστασία DDoS που βασίζεται στο cloud μπορεί να απορροφήσει και να μετριάσει επιθέσεις υψηλού εύρους ζώνης προτού φτάσουν στο δίκτυό σας. - Περιορίστε το Telnet και την απομακρυσμένη πρόσβαση
Απενεργοποιήστε την πρόσβαση Telnet και περιορίστε τις διεπαφές απομακρυσμένης διαχείρισης μόνο σε αξιόπιστες IP.
Οι απειλές DDoS εξελίσσονται
Η τελευταία παραλλαγή botnet Mirai είναι κάτι περισσότερο από ένα άλλο είδος κακόβουλου λογισμικού—είναι προάγγελος της αυξανόμενης πολυπλοκότητας των απειλών DDoS. Εκμεταλλευόμενοι τα τρωτά σημεία σε βιομηχανικούς δρομολογητές και συσκευές IoT, οι εισβολείς δημιουργούν botnets με μεγαλύτερη εμβέλεια και καταστροφικές δυνατότητες.
Για να παραμείνουν μπροστά από αυτές τις απειλές, οι οργανισμοί και τα άτομα πρέπει να παραμείνουν σε επαγρύπνηση, να ασφαλίσουν τις συσκευές τους και να υιοθετήσουν προληπτικές πρακτικές ασφάλειας στον κυβερνοχώρο. Όπως δείχνει αυτή η καμπάνια, ακόμη και φαινομενικά μικρές ευπάθειες μπορεί να έχουν τεράστιο αντίκτυπο εάν δεν αντιμετωπιστούν.
