Ένα botnet κακόβουλου λογισμικού DDoS (distributed denial of service) που βασίζεται στο Mirai και παρακολουθείται ως IZ1H9 έχει προσθέσει δεκατρία νέα ωφέλιμα φορτία για να στοχεύσει δρομολογητές και δρομολογητές που βασίζονται σε Linux από τις εταιρείες D-Link, Zyxel, TP-Link, TOTOLINK και άλλες.
Οι ερευνητές της Fortinet αναφέρουν ότι παρατήρησαν μια κορύφωση στα ποσοστά εκμετάλλευσης γύρω στην πρώτη εβδομάδα του Σεπτεμβρίου, φτάνοντας τις δεκάδες χιλιάδες απόπειρες εκμετάλλευσης εναντίον ευάλωτων συσκευών.
Το IZ1H9 θέτει σε κίνδυνο συσκευές για να τις επιστρατεύσει στο σμήνος DDoS και στη συνέχεια εξαπολύει επιθέσεις DDoS σε συγκεκριμένους στόχους, προφανώς σε πελάτες που νοικιάζουν τη δύναμη πυρός του.
Στόχος IoT συσκευών
Όσο περισσότερες συσκευές και τρωτά σημεία στοχοποιούνται από ένα κακόβουλο λογισμικό DDoS, τόσο αυξάνεται η δυνατότητα δημιουργίας ενός μεγάλου και ισχυρού botnet, ικανού να επιφέρει μαζικά πλήγματα σε ιστότοπους.
Στην περίπτωση του IZ1H9, η Fortinet αναφέρει ότι χρησιμοποιεί exploits για τα ακόλουθα ελαττώματα, που χρονολογούνται από το 2015 έως το 2023:
- D-Link devices: CVE-2015-1187, CVE-2016-20017, CVE-2020-25506, CVE-2021-45382
- Netis WF2419: CVE-2019-19356
- Sunhillo SureLine (versions before 8.7.0.1.1): CVE-2021-36380
- Geutebruck products: CVE-2021-33544, CVE-2021-33548, CVE-2021-33549, CVE-2021-33550, CVE-2021-33551, CVE-2021-33552, CVE-2021-33553, CVE-2021-33554
- Yealink Device Management (DM) 3.6.0.20: CVE-2021-27561, CVE-2021-27562
- Zyxel EMG3525/VMG1312 (before V5.50): CVE not specified but targets the Zyxel device’s /bin/zhttpd/ component vulnerability
- TP-Link Archer AX21 (AX1800): CVE-2023-1389
- Korenix JetWave wireless AP: CVE-2023-23295
- TOTOLINK routers: CVE-2022-40475, CVE-2022-25080, CVE-2022-25079, CVE-2022-25081, CVE-2022-25082, CVE-2022-25078, CVE-2022-25084, CVE-2022-25077, CVE-2022-25076, CVE-2022-38511, CVE-2022-25075, CVE-2022-25083
Η εκστρατεία στοχεύει επίσης σε ένα απροσδιόριστο CVE που σχετίζεται με τη διαδρομή “/cgi-bin/login.cgi”, επηρεάζοντας δυνητικά τον δρομολογητή Prolink PRC2402M.
Αλυσιδωτή επίθεση
Μετά την εκμετάλλευση ενός από τα προαναφερθέντα CVEs, ένα payload IZ1H9 εισάγεται στη συσκευή που περιέχει μια εντολή για την ανάκτηση ενός προγράμματος λήψης σεναρίων shellμε όνομα “l.sh” από μια καθορισμένη διεύθυνση URL.
Κατά την εκτέλεση, το σενάριο διαγράφει τα αρχεία καταγραφής για να αποκρύψει την κακόβουλη δραστηριότητα και, στη συνέχεια, φέρνει πελάτες bot προσαρμοσμένους για διαφορετικές αρχιτεκτονικές συστημάτων.
Τέλος, το σενάριο τροποποιεί τους κανόνες iptables της συσκευής ώστε να εμποδίζει τη σύνδεση σε συγκεκριμένες θύρες και να δυσχεραίνει την αφαίρεση του κακόβουλου λογισμικού από τη συσκευή.
Έχοντας κάνει όλα τα παραπάνω, το bot εγκαθιστά επικοινωνία με τον διακομιστή C2 (command and control) και περιμένει την εκτέλεση εντολών.
Οι υποστηριζόμενες εντολές αφορούν τον τύπο της επίθεσης DDoS που θα εξαπολύσει, συμπεριλαμβανομένων των UDP, UDP Plain, HTTP Flood και TCP SYN.
Η Fortinet αναφέρει επίσης ότι το IZ1H9 διαθέτει ένα τμήμα δεδομένων με σκληρά κωδικοποιημένα διαπιστευτήρια που χρησιμοποιούνται για επιθέσεις brute-force.
Αυτές οι επιθέσεις μπορεί να είναι χρήσιμες για τη διάδοση σε παρακείμενες συσκευές ή για τον έλεγχο ταυτότητας σε συσκευές IoT για τις οποίες δεν υπάρχει λειτουργικό exploit.
Συνιστάται στους κατόχους συσκευών IoT να χρησιμοποιούν ισχυρά διαπιστευτήρια χρήστη διαχειριστή, να τις ενημερώνουν στην τελευταία διαθέσιμη έκδοση υλικολογισμικού και, αν είναι δυνατόν, να μειώνουν την έκθεσή τους στο δημόσιο διαδίκτυο.
Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.
Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.