حمله به روترهای صنعتی با استفاده از بات‌نت جدید «میرای»

۲۰ دی ۱۴۰۳

براساس گزارش‌های منتشر شده، از ماه نوامبر سال ۲۰۲۴، یک بات‌نت جدید از خانواده‌ی میرای با بهره‌برداری از آسیب‌پذیری‌های روز صفر، روترهای صنعتی و دستگاه‌های خانه هوشمند را مورد هدف قرار داده است.

آسیب‌پذیری CVE-2024-12856 در روترهای صنعتی Four-Faith، از ماه دسامبر سال گذشته توسط مهاجمان مورد بهره‌برداری قرار گرفته است. این آسیب‌پذیری به مهاجمان اجازه می‌دهد تا به دستگاه‌های متصل به این روترها نفوذ کنند.

نسخه جدید بات‌نت میرای سال گذشته شناسایی و در حال حاضر 15,000 گره فعال روزانه دارد که عمدتاً در چین، ایالات متحده، روسیه، ترکیه و ایران قرار دارند.

با بررسی گزارش‌های مربوطه، به نظر می‌رسد که هدف اصلی این بات‌نت اجرای حملات محروم سازی از سرویس (DDoS) با هدف‌گیری افراد و سازمان‌های مشخص برای کسب سود باشد.

این بدافزار از ترکیب اکسپلویت‌های عمومی و خصوصی برای بیش از ۲۰ آسیب‌پذیری به منظور گسترش و ورود به دستگاه‌های متصل به اینترنت استفاده می‌کند و هدف آن روترهای صنعتی و خانگی، DVRها و دستگاه‌های خانه‌ی هوشمند است.

مدل روترهایی که عمدتاً توسط این بدافزار مورد هدف قرار می‌گیرند به شرح زیر است:

  • ASUS routers (via N-day exploits).
  • Huawei routers (via CVE-2017-17215)
  • Neterbit routers (custom exploit)
  • LB-Link routers (via CVE-2023-26801)
  • Four-Faith Industrial Routers (via the zero-day now tracked as CVE-2024-12856)
  • PZT cameras (via CVE-2024-8956 and CVE-2024-8957)
  • Kguard DVR
  • Lilin DVR (via remote code execution exploits)
  • Generic DVRs (using exploits like TVT editBlackAndWhiteList RCE)
  • Vimar smart home devices (likely using an undisclosed vulnerability)
  • Various 5G/LTE devices (likely via misconfigurations or weak credentials)


طبق گزارش شرکت X Lab، حملات این بات‌نت با وجود مدت زمان کوتاه (بین ۱۰ تا ۳۰ ثانیه)، بسیار شدید هستند و ترافیکی بیش از ۱۰۰ گیگابیت بر ثانیه ایجاد می‌کنند؛ که می‌تواند حتی برای زیرساخت‌های مقاوم نیز اختلال ایجاد کند.

یکی از ویژگی‌های منحصر به فرد این بات‌نت، توانایی آن در آلوده کردن طیف گسترده‌ای از دستگاه‌ها و حفظ این آلودگی با بهره‌گیری از آسیب‌پذیری‌های قدیمی و حتی روز صفر است.

کاربران می‌توانند با نصب آخرین به‌روزرسانی‌های منتشر شده، غیرفعال کردن دسترسی از راه دور و تغییر اطلاعات پیش‌فرض حساب (نام کاربری و رمزعبور)، از دستگاه‌های خود محافظت کنند.

 

توضیحات بیشتر:

New Mirai botnet targets industrial routers with zero-day exploits