Botnet Dark Mirai atakuje routery TP-LINK TL-24840N

Botnet Dark Mirai jest jedną z wielu odmian botnetu Mirai, który od pięciu lat stanowi zagrożenie dla urządzeń IoT. Chociaż pierwotny projekt nie żyje od dawna, publicznie dostępny kod źródłowy jest nadal wykorzystywany przez operatorów szkodliwego oprogramowania. Botnet Dark Mirai to tylko jeden z wielu projektów, które to robią.

Ten botnet specjalizuje się w atakach typu rozproszona odmowa usługi (DDoS), a ostatnio dodał nowy exploit do swojego zbioru technik ataku. Ta szczególna luka dotyczy routera TP-LINK, który został wydany w 2017 roku – TL-WR840N EU V5. Luka została już załatana w najnowszej aktualizacji oprogramowania sprzętowego, ale niestety wielu użytkowników nadal korzysta z przestarzałej wersji.

Luka, sklasyfikowana jako CVE-2021-41653, umożliwia zdalne wykonanie kodu uwierzytelnionym użytkownikom. Przestępcy używają go do uruchamiania skryptu basha, który pobierałby ostateczną zawartość. Oprócz tego skrypt modyfikuje konfigurację routera w celu zablokowania określonych portów, zapobiegając w ten sposób infekowaniu go przez inne botnety. Należy dodać, że botnet Dark Mirai może przejąć tylko urządzenia, które używają domyślnych danych logowania – ta luka jest bezużyteczna bez danych logowania administratora.

Po uruchomieniu implantu przestępcy mogą go zdalnie kontrolować, nakazując mu wykonanie ataku DDoS. Wygląda na to, że botnet Dark Mirai nie ma innego zastosowania, a przestępcy wykorzystują go wyłącznie do wyłączania usług i stron internetowych. Aby chronić swoje urządzenia przed botnetem Dark Mirai i podobnymi zagrożeniami, można skorzystać z najnowszego dostępnego oprogramowania i wybrać bezpieczne hasło dla wszystkich kont z eskalowanymi uprawnieniami.