Wariant botnetu Mirai wykorzystuje podatność w routerach do przeprowadzania ataków DDoS

Gayfemboy został odkryty przez zespół XLab na początku lutego 2024 r. i pozostaje aktywny do dziś. Jego wczesne wersje nie wyróżniały się niczym szczególnym – były to po prostu pochodne Mirai zapakowane w UPX, niewykazujące żadnej innowacyjności. Stojący za botnetem programiści wyraźnie chcieli się jednak wyróżnić i wejść na wyższy poziom. Zaczęli intensywnie rozwijać swoje dzieło, między innymi poprzez modyfikowanie pakietów rejestracyjnych, eksperymentowanie z polimorficznym pakowaniem UPX, aktywną integrację luk N-day, a nawet odkrywanie exploitów 0-day, a wszystko oczywiście po to, by zwiększyć skalę infekcji Gayfemboyem.

Na początku listopada 2024 r. Gayfemboy wyewoluował, wykorzystując podatność 0-day w przemysłowych routerach Four-Faith i nieznane luki w routerach Neterbit oraz inteligentnych urządzeniach domowych Vimar do rozprzestrzeniania ładunków. To właśnie skłoniło XLab do przeprowadzenia kompleksowej analizy nowego tworu w cyberprzestrzeni.

Dowiedzieliśmy się, że aktualnie botnet utrzymuje około 15 000 aktywnych adresów IP dziennie, a infekcje są rozproszone głównie w Chinach, Iranie, Rosji, Turcji i Stanach Zjednoczonych.

Poniżej widzimy wykres aktywności oraz mapę dystrybucji botnetu.

Wiadomo, że złośliwe oprogramowanie jest aktywne prawie od samego początku 2024 roku, wykorzystując arsenał ponad 20 znanych luk w zabezpieczeniach i słabe poświadczenia Telnet do początkowego dostępu. Botnet uzyskał swoją nazwę w nawiązaniu do obraźliwego terminu występującego w jego kodzie źródłowym.

Podatność w routerach Four-Faith, o której mowa, to CVE-2024-12856 (wynik CVSS: 7,2), odnosząca się do błędu wstrzykiwania poleceń systemu operacyjnego. Dotyczy modeli routerów F3x24 i F3x36 i może być z łatwością wykorzystana, szczególnie przez niezmienione domyślne poświadczenia.

Botnet korzysta też z szeregu innych, bardziej powszechnych podatności, w celu rozszerzenia swojego zasięgu. Są to na przykład: CVE-2013-3307, CVE-2013-7471, CVE-2014-8361, CVE-2016-20016, CVE-2017-17215, CVE-2017-5259, CVE-2020-25499, CVE-2020-9054, CVE-2021-35394, CVE-2023-26801, CVE-2024-8956 i CVE-2024-8957.

Celem botnetu jest oczywiście zarobek na wynajęciach jego infrastruktury do przeprowadzania ataków DDoS na wybrane przez zamawiających cele. Ataki DDoS wykorzystujące botnet są wymierzone w setki różnych podmiotów dziennie, a aktywność osiągnęła nowy szczyt pod koniec października 2024 r. Ataki, trwające od 10 do 30 sekund, generują ruch o przepustowości około 100 Gb/s.

Poniżej trend liczby pojawiających się ataków oraz ich geograficzna dystrybucja:

Analiza techniczna XLab pojawiła się kilka tygodni po tym, jak Juniper Networks ostrzegł, że produkty Session Smart Router (SSR) z domyślnymi hasłami są celem złośliwych podmiotów. Firma Akamai ujawniła również infekcje złośliwym oprogramowaniem Mirai, wykorzystujące podatność zdalnego wykonywania kodu w rejestratorach DVR DigiEver.

DDoS stał się jedną z najczęściej wybieranych i najbardziej destrukcyjnych form cyberataków. Jego modele działania są zróżnicowane, ścieżki ataku wysoce ukryte, a sam botnet może wykorzystywać stale rozwijające się strategie i techniki, aby przeprowadzać precyzyjne ataki na różne branże i systemy. Stwarza to poważne zagrożenie dla przedsiębiorstw, organizacji rządowych i indywidualnych użytkowników.