Netlab v piatok publikoval správu, v ktorej detailne popísal nový IoT botnet Ttint, ktorý zneužíva dve zero day zraniteľnosti v routeroch firmy Tenda. Botnet si od expertov vyslúžil prívlastok netypického hráča.
Cheap Tenda-routers are being compromised by Mirai-like ttint malware to form a botnet. Two zero-days in use. Infections all around the world? https://t.co/rRkCPc0BVL pic.twitter.com/uAlf43bVay
— Lukasz Olejnik (@lukOlejnik) October 1, 2020
Mysleli na všetko, aj na niečo viac
Jednou zo zvláštností Ttintitu je implementácia dvanástich nástrojov vzdialeného prístupu (RAT) do napadnutých routerov. Útočníci tak môžu manipulovať s firewallom, DNS smerovačom či protokolom dátového prenosu.
Okrem odoprenia služieb prostredníctvom DDoS útoku tak môžu vykonávať vlastné príkazy alebo ukradnúť zo zariadenia citlivé informácie.
Na komunikáciu s C&C serverom využíva namiesto tradičného TLS protokolu šifrovaný WebSocket. Na rozdiel od iných malvérov postavených na kóde Mirai sa tak dokáže efektívnejšie chrániť pred odhalením pri prenose dát.
Zaujímavo v neposlednom rade pôsobí zistenie, že autori botnetu presunuli jeho základnú infraštruktúru z pôvodného Google cloudu k poskytovateľovi v Hong Kongu.
Stále deravé
Ttint bol vyvinutý pravdepodobne v novembri 2019, kedy Netlab detegoval prvé zneužitie zero day v routeroch Tenda.
Netlab objavil korene botnetu Ttint ešte v novembri 2019, pričom informácie o jednej zo zraniteľností (CVE-2020-10987) boli medializované až v júli tohto roku. Tej druhej sa výskumníci z bezpečnostných dôvodov detailne nevenovali.
Zdroj: Netlab
Medzi zraniteľnými routermi sú tie s firmvérovou verziou AC9, AC10, AC15 či AC18. Používatelia Tendy by si teda mali skontrolovať, na akú verziu majú svoje zariadenie aktualizované.
Napriek tomu, že výskumníci Tendu pred zraniteľnosťami varovali, firma ani jednu z nich doposiaľ nezaplátala.
Začiatok novej éry hrozieb?
IoT botnety nie sú novinkou – ani tie, ktoré zneužívajú doposiaľ neobjavené a nezaplátané zraniteľnosti. Kód Mirai sa na internetových fórach objavil už v roku 2016. Odvtedy sa stal základom pre malvér cieliaci na akékoľvek zariadenia v domácnosti napojené do siete.
Zdroj: Netlab
„Tento robot nepoužíval nič, čo by sme zatiaľ nevideli v inom IoT alebo Linux malvéri,“ uviedol pre ZDnet kyberexpert spoločnosti Radware Pascal Geenens.
„Ttint by mohol znamenať začiatok rozvoja všeobecne rozšíreného IoT malvéru a jeho širšie využitie v sofistikovanejších kampaniach,“ varuje Geenens.
Lenka Gallovičová, Kristína Urbanová