Вариант ботнета Mirai использует уязвимость маршрутизатора Four Faith для осуществления DDoS-атак
В качестве яркого напоминания о растущей опасности, которую представляют ботнеты, новый вариант Mirai с начала ноября 2024 года эксплуатирует уязвимости в промышленных маршрутизаторах Four-Faith. Этот последний ботнет, получивший название «gayfemboy» (термин, полученный из-за оскорбительных ссылок на его исходный код), подчеркивает постоянную угрозу атак типа «распределенный отказ в обслуживании» (DDoS) и необходимость надежной защиты от кибератак.
С 15 000 ежедневных активных IP-адресов, распределенных по таким регионам, как Китай, Иран, Россия, Турция и США, этот ботнет достиг разрушительных масштабов. Его способность использовать как уязвимости нулевого дня, так и длинный список из более чем 20 известных недостатков безопасности — это тревожный звонок как для предприятий, так и для отдельных пользователей.
Table of Contents
Эксплуатируемая уязвимость: CVE-2024-12856
В основе недавней кампании ботнета лежит CVE-2024-12856, уязвимость внедрения команд, влияющая на маршрутизаторы Four-Faith моделей F3x24 и F3x36. Уязвимость, имеющая оценку CVSS 7,2, позволяет злоумышленникам эксплуатировать маршрутизаторы, настроенные с неизменными учетными данными по умолчанию.
С момента обнаружения в ноябре 2024 года эта уязвимость активно эксплуатировалась для доставки вредоносных полезных нагрузок, включая обратные оболочки и вариант вредоносного ПО на основе Mirai. Нацеливаясь на промышленные маршрутизаторы, злоумышленники могут использовать высокоподключенные устройства , увеличивая охват и эффективность своего ботнета.
Стратегия многостороннего нападения
Вариант Mirai использует комбинацию тактик для заражения устройств и максимизации своего воздействия:
- Первоначальный доступ с использованием слабых учетных данных
Ботнет сканирует устройства со слабыми учетными данными Telnet или заводскими настройками по умолчанию, что является распространенной ошибкой безопасности во многих системах Интернета вещей и промышленных системах. - Использование длинного списка уязвимостей
Помимо CVE-2024-12856, ботнет использует более 20 дополнительных уязвимостей, включая недостатки, обнаруженные еще в 2013 году, такие как:- CVE-2013-3307
- CVE-2016-20016
- CVE-2021-35394
- Возможности вредоносного ПО на базе Mirai
После внедрения вредоносная программа применяет следующие методы:- Скрыть вредоносные процессы.
- Выполнение команд для обнаружения новых уязвимых устройств.
- Постоянно обновлять вредоносную нагрузку.
- Запускать целевые DDoS-атаки.
Масштаб и последствия атак
Ботнет организовал ежедневные DDoS-атаки на сотни целей, достигая пиков пропускной способности в 100 Гбит/с. Хотя эти атаки часто длятся всего 10–30 секунд, внезапный приток трафика может перегрузить серверы, нарушить работу служб и нанести значительный ущерб.
Примечательно, что в октябре и ноябре 2024 года наблюдался всплеск активности ботнетов: вредоносное ПО активно сканировало и взламывало устройства.
Более широкая угроза ботнета
Этот последний вариант Mirai является частью более широкой тенденции киберпреступников, использующих уязвимости в IoT и промышленных устройствах для создания ботнетов . Похожие кампании включают:
- Предупреждение от Juniper Networks : злоумышленники атакуют продукты Session Smart Router (SSR) с паролями по умолчанию для распространения вредоносного ПО Mirai.
- Отчет Akamai : Заражение Mirai делает уязвимости удаленного выполнения кода в цифровых видеорегистраторах DigiEver оружием.
Эти инциденты отражают тревожную реальность: поскольку устройства остаются неправильно настроенными или необновленными, злоумышленники будут продолжать использовать их для наращивания своих армий ботнетов.
Как защититься от ботнетов Mirai и DDoS-атак
Учитывая постоянную и развивающуюся угрозу со стороны ботнетов на базе Mirai, организациям и пользователям крайне важно принять комплексные меры безопасности:
- Изменить учетные данные по умолчанию
Замените заводские пароли по умолчанию на всех устройствах на надежные уникальные учетные данные. - Регулярно устанавливайте исправления и обновления на устройства
Регулярно обновляйте прошивку и программное обеспечение маршрутизатора, чтобы устранить известные уязвимости, такие как CVE-2024-12856. - Внедрить сегментацию сети
Изолируйте устройства Интернета вещей и промышленные устройства от критически важных сетей, чтобы ограничить боковое смещение. - Монитор для необычного трафика
Используйте системы обнаружения вторжений (IDS) и инструменты мониторинга на основе аномалий для выявления необычных моделей трафика, указывающих на активность DDoS. - Развертывание решений по борьбе с DDoS-атаками
Облачная защита от DDoS-атак способна поглощать и смягчать атаки с высокой пропускной способностью до того, как они достигнут вашей сети. - Ограничить Telnet и удаленный доступ
Отключите доступ Telnet и ограничьте интерфейсы удаленного управления только доверенными IP-адресами.
Угрозы DDoS развиваются
Последняя версия ботнета Mirai — это не просто очередной штамм вредоносного ПО, это предвестник все более сложных угроз DDoS. Используя уязвимости в промышленных маршрутизаторах и устройствах IoT, злоумышленники создают ботнеты с большим охватом и разрушительным потенциалом.
Чтобы опережать эти угрозы, организации и отдельные лица должны сохранять бдительность, защищать свои устройства и применять проактивные методы кибербезопасности. Как показывает эта кампания, даже, казалось бы, незначительные уязвимости могут иметь огромное влияние, если их не устранить.
