Nova Varijanta Mirai Botneta Cilja IoT Uređaje
Mirai, poznat po svojim napadima na uređaje Interneta stvari (IoT) kroz distribuirane napade uskraćivanja usluga (DDoS), dobio je novu varijantu. Stručnjaci upozoravaju da ova nova verzija sada cilja brojne ranjive uređaje. Malware posebno pogađa DigiEver DS-2105 Pro NVR uređaje, više TP-Link usmjerivača s zastarjelim firmwareom i Teltonika RUT9XX usmjerivače.
Ranjivosti Koje Mirai Iskorištava
U slučaju DigiEver, Mirai koristi neispravljenu ranjivost udaljenog izvršavanja koda (RCE) koja nema čak niti broj za praćenje. Za TP-Link, koristi ranjivost označenu kao CVE-2023-1389, dok za Teltonika napada CVE-2018-17532. Zanimljivo je da je ranjivost kod TP-Link-a godinu dana stara, dok je Teltonika ranjivost stara oko šest godina. Ovo sugerira da su kriminalci usmjereni prema organizacijama s lošom praksom kibernetičke sigurnosti i ažuriranjima.
Tok Napada i Tehnike
Prema istraživanjima, napad je najvjerojatnije započeo u rujnu ili listopadu 2024. godine. Stručnjaci iz Akamai-a otkrili su da se koristi XOR i ChaCha20 enkripcija, te da cilja različite arhitekture sustava, uključujući ARM, MIPS i x86. “Iako korištenje složenih metoda dekripcije nije novo, to sugerira evoluciju taktika, tehnika i procedura među operatorima botneta temeljeni na Miraiu”, izjavili su iz Akamai-a. “Ovo je posebno važno jer mnogi botneti temeljen na Miraiu još uvijek ovise o izvornoj logici obfuscacije stringova iz recikliranog koda koji je uključen u prvobitno izdanje Mirai malwarea.”
Upozorenja Stručnjaka
Stručnjaci iz Juniper Research nedavno su upozorili da Mirai operatori traže lako kompromitirane Session Smart usmjerivače. “U srijedu, 11. prosinca 2024., nekoliko klijenata prijavilo je sumnjivo ponašanje na svojim Session Smart Network (SSN) platformama”, naveli su iz Junipera u svom sigurnosnom savjetu. Istraživači su također nedavno izvijestili da cyber kriminalci iskorištavaju ranjivost u AVM1203 modelu nadzorne kamere koju je dizajnirao i prodao tajvanski proizvođač AVTECH, kako bi preuzeli krajnje točke i prilagodili ih Mirai botnetu.
Zaključak
Nova varijanta Mirai botneta predstavlja ozbiljnu prijetnju ranjivim IoT uređajima. Organizacije moraju pojačati svoje sigurnosne mjere i redovito ažurirati softver kako bi se zaštitile od ovakvih napada. Uzimanje aktivnih koraka za poboljšanje kibernetičke sigurnosti je ključno za izbjegavanje potencijalno katastrofalnih posljedica.
