Dark Mirai Botnet richt zich op TP-LINK TL-24840N routers

Het Dark Mirai Botnet is een van de vele varianten van het Mirai Botnet, dat al vijf jaar een bedreiging vormt voor IoT-apparaten. Hoewel het oorspronkelijke project al een lange tijd dood is, wordt de openbaar beschikbare broncode nog steeds gebruikt door malware-operators. Het Dark Mirai Botnet is slechts een van de vele projecten die dit doen.

Dit botnet is gespecialiseerd in distributed-denial-of-service (DDoS)-aanvallen en heeft onlangs een nieuwe exploit aan zijn verzameling aanvalstechnieken toegevoegd. Deze specifieke kwetsbaarheid treft een TP-LINK-router, die in 2017 werd uitgebracht - de TL-WR840N EU V5. Het beveiligingslek is al gepatcht in de nieuwste firmware-update voor de hardware, maar helaas gebruiken veel gebruikers nog steeds een verouderde versie.

De kwetsbaarheid, geclassificeerd als CVE-2021-41653, maakt uitvoering van externe code mogelijk voor geverifieerde gebruikers. De criminelen gebruiken het om een bash-script uit te voeren, dat de uiteindelijke payload zou downloaden. Daarnaast brengt het script wijzigingen aan in de configuratie van de router om specifieke poorten te blokkeren en zo te voorkomen dat andere botnets deze infecteren. Het is belangrijk om toe te voegen dat het Dark Mirai Botnet alleen apparaten kan overnemen die de standaard inloggegevens gebruiken - dit beveiligingslek is onbruikbaar zonder beheerdersreferenties.

Zodra het implantaat in werking is, kunnen de criminelen het op afstand besturen en het een DDoS-aanval opdragen. Het lijkt erop dat het Dark Mirai Botnet geen ander nut heeft en de criminelen gebruiken het uitsluitend om diensten en websites offline te halen. Je apparaten beschermen tegen het Dark Mirai Botnet en soortgelijke bedreigingen kan worden gedaan door de nieuwste beschikbare firmware te gebruiken en een veilig wachtwoord te kiezen voor alle accounts met verhoogde privileges.