I ricercatori del team Unity 42 di Palo Alto Networks hanno scoperto una variante della botnet Mirai che sfrutta 22 vulnerabilità presenti nei router di D-Link, TP-Link, Netgear, Zyxel e altri produttori. I dispositivi sono stati utilizzati per effettuare attacchi DDoS (Distributed Denial of Service) a partire dal mese di marzo.
Numerosi router usati da Mirai
I ricercatori di Palo Alto Networks hanno pubblicato l’elenco completo delle 22 vulnerabilità sfruttate dalla botnet Mirai. La maggioranza di esse sono presenti nei router, ma alcune sono anche in DVR, NVR, dongle WiFi e sistemi di controllo degli accessi. La vulnerabilità CVE-2023-1389 del router TP-Link Archer AX21 è stata sfruttata anche dalla botnet Condi. Ovviamente tutte consentono di eseguire codice arbitrario (il client di Mirai in questo caso).
La catena di infezione inizia con il download di uno script di shell che successivamente scarica lo specifico client della botnet per le architetture dei dispositivi: armv4l, arm5l, arm6l, arm7l, mips, mipsel, sh4, x86_64, i686, i586, arc, m68k e sparc.
Dopo l’esecuzione del client della botnet, lo script di shell cancella l’eseguibile per nascondere le tracce. Analizzando la fonte degli attacchi (gli indirizzi IP dei domini che ospitano il malware), gli esperti di Palo Alto Networks hanno scoperto che gli stessi cybercriminali sono gli autori di due distinte campagne effettuate tra marzo e maggio 2023.
La variante di Mirai non ha funzionalità di forza bruta per trovare le credenziali di login SSH o Telnet, quindi gli exploit per le vulnerabilità sono eseguiti manualmente dai cybercriminali. Gli utenti devono installare con urgenza gli ultimi firmware disponibili, cambiare le password predefinite e rimuovere qualsiasi accesso di amministrazione remota.