Ένα botnet που βασίζεται στο Mirai και ονομάζεται «Moobot» εξαπλώνεται επιθετικά μέσω της εκμετάλλευσης ενός κρίσιμου ελαττώματος command injection στον webserver πολλών προϊόντων της Hikvision.
Δείτε επίσης: Η Google λαμβάνει μέτρα για να “σταματήσει” το botnet Glupteba
Η Hikvision είναι ένας κρατικός κινεζικός κατασκευαστής καμερών και εξοπλισμού παρακολούθησης που η κυβέρνηση των ΗΠΑ επέβαλε κυρώσεις λόγω παραβίασης των ανθρωπίνων δικαιωμάτων.
Αυτή η ευπάθεια παρακολουθείται ως CVE-2021-36260 και μπορεί να γίνει απομακρυσμένο exploit με την αποστολή ειδικά δημιουργημένων μηνυμάτων που περιέχουν κακόβουλες εντολές.
Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Η Hikvision διόρθωσε το ελάττωμα τον Σεπτέμβριο του 2021 με μια ενημέρωση firmware (v 210628), αλλά δεν έσπευσαν όλοι οι χρήστες να εφαρμόσουν την ενημέρωση ασφαλείας.
Η Fortinet αναφέρει ότι το Moobot αξιοποιεί αυτό το ελάττωμα για να θέσει σε κίνδυνο unpatched συσκευές και να εξάγει ευαίσθητα δεδομένα από τα θύματα.
Η διαδικασία μόλυνσης
Το exploitation του ελαττώματος είναι αρκετά απλό, δεδομένου ότι δεν απαιτεί έλεγχο ταυτοποίησης και μπορεί να ενεργοποιηθεί με την αποστολή μηνύματος σε μια ευάλωτη συσκευή που εκτίθεται δημόσια.
Μεταξύ των διαφόρων payloads που αξιοποιούν το CVE-2021-36260, η Fortinet βρήκε ένα πρόγραμμα λήψης καλυμμένο ως “macHelper”, το οποίο ανακτά και εκτελεί το Moobot με την παράμετρο “hikivision”.
Το malware τροποποιεί και βασικές εντολές όπως “επανεκκίνηση”, έτσι ώστε να μην λειτουργούν σωστά και θα εμποδίσει τον διαχειριστή να επανεκκινήσει τη συσκευή που έχει παραβιαστεί.
Οι αναλυτές της Fortinet εντόπισαν αρκετά κοινά σημεία μεταξύ του Moobot και του Mirai.
Δείτε επίσης: Botnet EwDoor: Στοχεύει συσκευές δικτύου AT&T σε εταιρείες των ΗΠΑ
Επιπλέον, το Moobot περιλαμβάνει ορισμένα στοιχεία από το Satori, μια διαφορετική παραλλαγή του Mirai του οποίου ο author συνελήφθη και καταδικάστηκε το καλοκαίρι του 2020.
Είναι σημαντικό να υπογραμμίσουμε ότι δεν είναι η πρώτη φορά που εντοπίζεται το Moobot, καθώς οι ερευνητές στο Unit 42 το ανακάλυψαν για πρώτη φορά τον Φεβρουάριο του 2021.
Ωστόσο, το γεγονός ότι το botnet εξακολουθεί να προσθέτει νέα CVE δείχνει ότι αναπτύσσεται ενεργά και εμπλουτίζεται με νέες δυνατότητες στόχευσης.
Ο στόχος του Moobot είναι να ενσωματώσει την παραβιασμένη συσκευή σε DDoS.
Το C2 στέλνει μια εντολή SYN flood μαζί με τη στοχευμένη διεύθυνση IP και τον αριθμό θύρας για επίθεση.
Άλλες εντολές που μπορεί να στείλει ο C2 server περιλαμβάνουν 0x06 για UDP flood, 0x04 για ACK floodκαι 0x05 για flood ACK+PUSH.
Εξετάζοντας τα δεδομένα πακέτων που έχουν συγκεντρωθεί, η Fortinet μπόρεσε να εντοπίσει ένα κανάλι Telegram που άρχισε να προσφέρει υπηρεσίες DDoS τον περασμένο Αύγουστο.
Δείτε επίσης: Σχολείο για hackers: Εγκληματίες παραδίδουν μαθήματα με θέμα τα botnet
Η εγγραφή της συσκευής σας σε “σμήνη DDoS” έχει ως αποτέλεσμα την αυξημένη κατανάλωση ενέργειας, την επιταχυνόμενη φθορά και αναγκάζει τη συσκευή να μην ανταποκρίνεται.
Ο καλύτερος τρόπος για να προστατεύσετε τις συσκευές IoT σας από botnet είναι να εφαρμόσετε τις διαθέσιμες ενημερώσεις ασφαλείας το συντομότερο δυνατό και να αντικαταστήσετε τα προεπιλεγμένα credentials με ισχυρούς κωδικούς πρόσβασης.
Πηγή πληροφοριών: bleepingcomputer.com