Μια νέα παραλλαγή botnet Mirai, γνωστή ως V3G4, χρησιμοποιείται από εισβολείς για να στοχεύσει συσκευές Internet of Things και διακομιστές που βασίζονται σε Linux.
Ένα νέο Mirai Botnet χρησιμοποιείται σε διάφορες επιθέσεις
Στις 15 Φεβρουαρίου 2023, οι ερευνητές ασφαλείας Unit42 στο Palo Alto Networks δημοσίευσαν μια συμβουλή σχετικά με μια νέα παραλλαγή botnet του Mirai, που ονομάστηκε "V3G4". Στο Ανάρτηση ενότητας 42, οι αναγνώστες προειδοποιήθηκαν ότι διάφορες καμπάνιες έχουν χρησιμοποιήσει το κακόβουλο λογισμικό botnet για να πραγματοποιήσουν εκμεταλλεύσεις, οι οποίες παρακολουθήθηκαν μεταξύ Ιουλίου και Δεκεμβρίου 2022.
Συνολικά, ο κακόβουλος χειριστής κατάφερε να εκμεταλλευτεί 13 τρωτά σημεία ασφαλείας, όλα τα οποία θα μπορούσαν να επιτρέψουν την απομακρυσμένη εκτέλεση κώδικα για τη δημιουργία ενός botnet. Η Unit42 έγραψε στη συμβουλή της ότι, κατά την απομακρυσμένη εκτέλεση κώδικα, "τα βοηθητικά προγράμματα wget και curl είναι αυτόματα εκτελείται για λήψη δειγμάτων πελάτη Mirai από υποδομή κακόβουλου λογισμικού και, στη συνέχεια, εκτέλεση του ληφθέντος bot πελάτες."
Το Unit42 ενημέρωσε επίσης τους αναγνώστες ότι ο ίδιος παράγοντας απειλής είναι ύποπτος ότι βρίσκεται πίσω από κάθε επίθεση. Επιπλέον, ο ηθοποιός της απειλής χρησιμοποίησε μια φυλετική δυσφήμιση στην επίθεση, η οποία λογοκρίθηκε στη συμβουλευτική. Κατά τη στιγμή της σύνταξης, καμία κακόβουλη υπηρεσία δεν έχει συνδεθεί με τη σειρά των επιθέσεων.
Οι διακομιστές Linux και οι συσκευές IoT έχουν στοχευθεί
Αυτή η νέα παραλλαγή Mirai έχει χρησιμοποιηθεί για την εκμετάλλευση συσκευών IoT και διακομιστών που βασίζονται σε Linux. Στην προαναφερθείσα συμβουλή, η Unit42 έγραψε ότι το V3G4 "στοχεύει εκτεθειμένους διακομιστές και συσκευές δικτύωσης που εκτελούν Linux", ενώ στοχεύει επίσης σε συσκευές IoT, για να "διεξάγει περαιτέρω επιθέσεις, όπως π.χ. κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS).."
Το Unit42 έγραψε επίσης ότι "αφού ο πελάτης δημιουργήσει μια σύνδεση με τον διακομιστή C2, ο παράγοντας απειλής μπορεί να εκδώσει εντολές στον πελάτη για να ξεκινήσει επιθέσεις DDoS". Τα botnets είναι που χρησιμοποιείται συνήθως σε επιθέσεις DDoS για να διακόψετε την τυπική ροή επισκεψιμότητας ενός διακομιστή ή ιστότοπου. Αυτό μπορεί να προκαλέσει διακοπή λειτουργίας του διακομιστή ή του ιστότοπου, καθιστώντας τον προσωρινά απρόσιτο για τους τακτικούς χρήστες.
Το Mirai Malware αποτελούσε απειλή εδώ και χρόνια
Οι παραλλαγές botnet του Mirai έχουν χρησιμοποιηθεί πολλές φορές στο παρελθόν για να εξαπολύσουν κακόβουλες επιθέσεις από την εμφάνιση του πρώτου προγράμματος Mirai το 2016.
Πολλές γνωστές πλατφόρμες έχουν στοχευθεί χρησιμοποιώντας botnets Mirai, συμπεριλαμβανομένων των Minecraft, Amazon, Netflix και PayPal. Δεν υπάρχει αμφιβολία ότι αυτή η οικογένεια κακόβουλου λογισμικού ενέχει τεράστιο κίνδυνο για τις διαδικτυακές υπηρεσίες.
Τα botnet είναι επικίνδυνα αλλά αποτελεσματικά διανύσματα επίθεσης
Η δημιουργία ενός δικτύου συσκευών ζόμπι για την πραγματοποίηση κακόβουλων εκμεταλλεύσεων είναι μια εξελιγμένη αλλά ιδιαίτερα ανησυχητική μέθοδος που χρησιμοποιείται από τους εγκληματίες του κυβερνοχώρου σήμερα, ειδικά σε επιθέσεις DDoS. Σίγουρα θα δούμε περισσότερα είδη κακόβουλου λογισμικού botnet να εμφανίζονται στο μέλλον, πιθανώς από τους δημιουργούς του Mirai.
