Інтернет речей знову опиняється в епіцентрі масштабних кібератак: дослідники Fortinet FortiGuard Labs та Palo Alto Networks Unit 42 фіксують активну експлуатацію вразливостей у цифрових відеореєстраторах TBK DVR та застарілих Wi‑Fi‑роутерах TP‑Link для розгортання нових модифікацій ботнета Mirai. Ці кампанії демонструють, наскільки небезпечним залишається поєднання старих прошивок, типової помилки «впровадження команд» і паролів за замовчуванням.
Експлуатація CVE‑2024‑3721 у TBK DVR та поява ботнета Nexcorium
За даними Fortinet, зловмисники масово атакують уразливість CVE‑2024‑3721 (оцінка CVSS 6.3) у моделях TBK DVR‑4104 та TBK DVR‑4216. Ідеться про класичну для вбудованих систем уразливість впровадження команд (command injection), що дозволяє віддалено виконувати довільний код без участі власника пристрою.
Сценарій атаки типовий для IoT‑ботнетів. Спочатку через CVE‑2024‑3721 завантажується скрипт‑завантажувач, який визначає архітектуру Linux‑системи (MIPS, ARM тощо) і підтягує відповідний шкідливий модуль. Після успішного запуску на екрані з’являється повідомлення «nexuscorp has taken control», що свідчить про приєднання пристрою до ботнету Nexcorium.
Архітектурно Nexcorium дуже близький до оригінального Mirai: використовується XOR‑кодування конфігурації, є модуль «watchdog» для контролю працездатності, а також розвинений набір DDoS‑функцій. Подібні ознаки характерні для сучасних IoT‑ботнетів, орієнтованих на довготривале захоплення великої кількості пристроїв для подальших атак на інфраструктуру жертв.
Поширення всередині мережі: Huawei HG532 та Telnet-брутфорс
Важлива особливість Nexcorium – вбудований експлойт під давню, але все ще актуальну вразливість CVE‑2017‑17215 у домашніх роутерах Huawei HG532. Скомпрометований TBK DVR використовується як «трамплін» для подальшого розповсюдження в локальному сегменті мережі та зараження інших IoT‑пристроїв.
Окрім цільових експлойтів, Nexcorium містить жорстко закодований список типових пар логін/пароль і виконує автоматичний підбір облікових даних через Telnet. Після успішного входу шкідливе ПЗ отримує командну оболонку, налаштовує автозапуск через crontab і systemd, а потім підключається до центру управління (C2) для отримання завдань на DDoS‑атаки по протоколах UDP, TCP і навіть SMTP. Для ускладнення цифрової криміналістики Nexcorium видаляє початковий завантажений бінарний файл — поширена техніка серед операторів IoT‑ботнетів.
RondoDox, Mirai та Morte: індустрія loader-as-a-service
Компанія CloudSEK раніше фіксувала використання тієї ж уразливості CVE‑2024‑3721 не лише для розгортання Mirai‑подібних варіантів, а й відносно нового ботнета RondoDox. Дослідники описують цілу екосистему loader‑as‑a‑service — сервісів оренди завантажувачів, які поширюють RondoDox, Mirai та Morte через слабкі паролі й старі вразливості в роутерах, IoT‑обладнанні та корпоративних веб‑додатках.
Модель «ботнет‑як‑сервіс» суттєво знижує поріг входу для кіберзлочинців: замовнику більше не потрібно писати власний код чи будувати інфраструктуру. Достатньо оплатити доступ до готового завантажувача, який масово заражає пристрої для подальших DDoS‑кампаній, фрод‑схем або розповсюдження іншого шкідливого трафіку.
Вразливі роутери TP-Link та Mirai-подібний ботнет Condi
Паралельно аналітики Palo Alto Networks Unit 42 спостерігають автоматизовані сканування та спроби експлуатації вразливості CVE‑2023‑33538 (оцінка CVSS 8.8) у низці застарілих (end‑of‑life) роутерів TP‑Link. Це ще одна помилка класу command injection у веб‑інтерфейсі керування маршрутизатором.
Фіксовані «в польових умовах» експлойти наразі реалізовані з помилками й у більшості випадків не дають зловмиснику повного контролю. Водночас дослідники підтверджують, що сама вразливість реальна й при коректному використанні забезпечує значні привілеї. Важливий нюанс: для успішної атаки потрібна автентифікація у веб‑панелі TP‑Link, що робить критичним питання сильних паролів та захисту адміністративного доступу.
Мета цих атак — інсталяція Mirai‑подібного шкідливого ПЗ, в коді якого часто зустрічається рядок «Condi». Ботнет Condi здатний автоматично оновлюватися до нових версій та працювати як вбудований веб‑сервер для подальшого зараження інших пристроїв, що до нього підключаються. Вразливість CVE‑2023‑33538 включена до каталогу Known Exploited Vulnerabilities (KEV) агентства CISA, що підкреслює її значущість для власників застарілих TP‑Link, які більше не отримують патчів безпеки.
Чому IoT-пристрої залишаються легкою здобиччю для Mirai-подібних ботнетів
Фахівці з безпеки відзначають комбінацію факторів, яка робить IoT‑екосистему вразливою: масове розгортання пристроїв, рідкісні оновлення прошивок, використання заводських налаштувань і паролів за замовчуванням, а також відсутність сегментації мережі. У таких умовах навіть «обмежена» автентифікована уразливість перетворюється на критичну точку входу до внутрішньої інфраструктури.
Історія Mirai, який у 2016 році став основою масштабних DDoS‑атак на DNS‑провайдерів та онлайн‑сервіси, показала, що одного разу створений ботнет‑код живе роками. З’являються форки, нові модулі та цілі сімейства шкідливого ПЗ, які адаптуються до свіжих вразливостей і нових моделей обладнання. Nexcorium і Condi — лише чергові ланки в еволюції Mirai, що продовжує впливати на безпеку глобального Інтернету речей.
Організаціям і домашнім користувачам, які експлуатують TBK DVR, роутери TP‑Link чи інші IoT‑пристрої, варто розглядати ці інциденти як чіткий сигнал до дій. Пристрої зі статусом EoL слід планово замінювати на підтримувані моделі, регулярно оновлювати прошивки, відключати Telnet та інші невикористовувані сервіси, а також змінювати паролі за замовчуванням на стійкі унікальні комбінації. Додатково рекомендується впровадити сегментацію мережі, моніторинг аномального трафіку та журналів, а також періодичні аудити IoT‑парку. Своєчасне виконання цих кроків істотно знижує шанси стати частиною чергового Mirai‑подібного ботнета і мінімізує потенційні збитки від компрометації.
