Фахівці з кібербезпеки компанії Akamai виявили нову загрозу – модифіковану версію сумнозвісного ботнету Mirai. Зловмисне програмне забезпечення активно використовує критичну вразливість у цифрових відеореєстраторах DigiEver DS-2105 Pro та націлене на маршрутизатори TP-Link із застарілим програмним забезпеченням. Масштабна кампанія кібератак розпочалася в жовтні 2023 року і демонструє тенденцію до зростання.
Механізм проведення кібератак
Основний вектор атаки спрямований на експлуатацію вразливості віддаленого виконання коду (RCE) в пристроях DigiEver через компонент /cgi-bin/cgi_main.cgi. Критична вразливість дозволяє неавторизованим зловмисникам виконувати довільні команди через спеціально сформовані HTTP POST-запити з маніпуляцією параметра ntp. Особливу небезпеку становить можливість використання команд curl та chmod для завантаження та встановлення шкідливого коду.
Особливості поширення та технічні характеристики
Окрім атак на DigiEver, ботнет експлуатує вразливості CVE-2023-1389 в пристроях TP-Link та CVE-2018-17532 в маршрутизаторах Teltonika RUT9XX. Після успішного зараження зловмисники впроваджують шкідливий код через створення cron-завдань, забезпечуючи постійну присутність в інфікованій системі. Нова модифікація Mirai використовує передові методи шифрування, включаючи XOR та ChaCha20, що суттєво ускладнює його виявлення.
Масштаб загрози та потенційні наслідки
Інфіковані пристрої активно використовуються для проведення розподілених атак типу “відмова в обслуговуванні” (DDoS) та подальшого поширення інфекції. Універсальність шкідливого ПЗ, яке підтримує різні апаратні архітектури (x86, ARM, MIPS), значно розширює потенційну базу цільових пристроїв. Автоматизоване зараження нових пристроїв відбувається за допомогою попередньо підготовлених наборів експлойтів та баз скомпрометованих облікових даних.
Для захисту від цієї загрози експерти з кібербезпеки наполегливо рекомендують власникам пристроїв DigiEver, TP-Link та Teltonika дотримуватися базових правил безпеки: регулярно оновлювати програмне забезпечення, використовувати складні паролі та обмежувати доступ до адміністративних інтерфейсів із зовнішніх мереж. Своєчасне впровадження цих заходів захисту суттєво знижує ризик компрометації обладнання та його використання у складі ботнет-мережі.
