A Dark Mirai botnet a TP-LINK TL-24840N útválasztókat célozza meg

A Dark Mirai Botnet egyike a Mirai Botnet számos változatának, amely az elmúlt öt évben fenyegetést jelentett az IoT-eszközökre. Míg az eredeti projekt már régóta halott, a nyilvánosan elérhető forráskódot továbbra is használják a rosszindulatú programok üzemeltetői. A Dark Mirai Botnet csak egy a sok ilyen projekt közül.

Ez a botnet az elosztott szolgáltatásmegtagadási (DDoS) támadásokra specializálódott, és a közelmúltban egy új exploittal egészítette ki támadási technikák gyűjteményét. Ez a biztonsági rés egy TP-LINK útválasztót érint, amely 2017-ben jelent meg – a TL-WR840N EU V5. A sérülékenységet a hardver legújabb firmware-frissítése már javította, de sajnos sok felhasználó még mindig elavult verziót használ.

A CVE-2021-41653 besorolású biztonsági rés távoli kódfuttatást tesz lehetővé hitelesített felhasználók számára. A bûnözõk egy bash szkript futtatására használják, amely letölti a végsõ rakományt. Ezen túlmenően a szkript módosítja az útválasztó konfigurációját, hogy blokkoljon bizonyos portokat, így megakadályozza, hogy más botnetek megfertőzzék azt. Fontos hozzátenni, hogy a Dark Mirai Botnet csak azokat az eszközöket tudja átvenni, amelyek az alapértelmezett bejelentkezési adatokat használják – ez a biztonsági rés használhatatlan rendszergazdai hitelesítő adatok nélkül.

Amint az implantátum beindul, a bűnözők távolról irányíthatják azt, és DDoS támadás végrehajtására utasíthatják. Úgy tűnik, hogy a Dark Mirai Botnetnek nincs más haszna, és a bűnözők kizárólag szolgáltatások és webhelyek offline módba kapcsolására használják. Eszközeit a Dark Mirai Botnet és hasonló fenyegetésekkel szemben a legfrissebb elérhető firmware használatával és biztonságos jelszó kiválasztásával védheti meg minden kiterjesztett jogosultsággal rendelkező fiókhoz.