Recentemente, uma nova variante da botnet Mirai tem explorado vulnerabilidades em dispositivos de gravação de vídeo em rede (NVRs) e roteadores TP-Link com firmware desatualizado. A campanha maliciosa, identificada pela primeira vez em setembro de 2024, é mais uma demonstração da constante evolução das táticas dos cibercriminosos no ecossistema da Internet das Coisas (IoT).
Contexto e descoberta
A vulnerabilidade principal explorada pela botnet foi encontrada no modelo DigiEver DS-2105 Pro, que apresenta uma falha de execução remota de código (RCE). Essa vulnerabilidade, documentada pelo pesquisador Ta-Lun Yen da TXOne no ano passado, permite que atacantes não autenticados injetem comandos maliciosos por meio de requisições HTTP POST na URI /cgi-bin/cgi_main.cgi.
Pesquisadores da Akamai observaram a exploração desta falha em meados de novembro de 2024, mas descobriram evidências de que a campanha já estava ativa desde setembro. Os dispositivos comprometidos são utilizados para ataques de negação de serviço distribuído (DDoS) e para espalhar o malware para outros dispositivos vulneráveis.
Vulnerabilidades exploradas
Além do problema no DigiEver NVR, a botnet também explora outras vulnerabilidades conhecidas, como o CVE-2023-1389, presente em dispositivos TP-Link, essa falha permite que invasores injetem comandos maliciosos por meio do endpoint /cgi-bin/luci;stok=/locale. Outra vulnerabilidade explorada é o CVE-2018-17532, afetando roteadores Teltonika RUT9XX, permitindo a execução de scripts maliciosos via solicitações wget.
Em todos os casos, o objetivo é comprometer os dispositivos e integrá-los à botnet, utilizando métodos como a criação de “cron jobs” para persistência.
Características do malware
A variante Mirai usada nesta campanha possui diferenças notáveis em relação ao código original. Ela utiliza criptografia ChaCha20 e XOR para proteger seus dados, tornando a análise do malware mais complexa. Além disso, é compatível com diversas arquiteturas, incluindo x86, ARM e MIPS.
A utilização de criptografia avançada não é novidade, mas indica uma evolução nas táticas dos operadores de botnets baseadas no Mirai. Muitos ainda dependem da lógica de ofuscação original do código-fonte do Mirai, mas esta nova variante mostra um nível superior de sofisticação.
Como o ataque acontece
Os atacantes utilizam comandos como curl e chmod para baixar e executar o binário do malware em dispositivos vulneráveis. Por exemplo, no caso do DigiEver, a falha no campo ntp das requisições HTTP permite a injeção de comandos que conectam o dispositivo a servidores externos, onde o malware é armazenado.
Uma vez comprometido, o dispositivo passa a integrar a botnet e pode ser usado para lançar ataques DDoS, espalhar o malware para outros dispositivos, ou realizar atividades maliciosas sob controle remoto dos operadores da botnet.
Impacto e prevenção
O uso de dispositivos IoT inseguros é uma das principais causas da propagação de botnets como esta. Dispositivos com firmware desatualizado ou configurações de segurança inadequadas tornam-se alvos fáceis para cibercriminosos.
Para mitigar os riscos, é essencial:
- Manter os dispositivos atualizados: Aplique patches de segurança assim que disponíveis;
- Alterar credenciais padrão: Utilize senhas fortes e exclusivas;
- Monitorar a rede: Ferramentas de detecção de ameaças podem identificar comportamentos anormais;
- Segmentar redes IoT: Evite conectar dispositivos IoT diretamente à rede principal.
Conclusão
A descoberta desta botnet baseada no Mirai destaca a importância de manter dispositivos IoT seguros e atualizados. Vulnerabilidades em sistemas desatualizados representam uma porta de entrada para ataques que podem causar impactos significativos em redes corporativas e residenciais. A conscientização e a adoção de boas práticas de segurança são fundamentais para mitigar este tipo de ameça.
Fique por dentro das principais notícias da semana sobre tecnologia e Linux, assine nossa newsletter!