Sofisticirana globalna botnet kampanja usmjerena na VoIP rutere i uređaje konfigurisane s zadanim pristupnim podacima.
Otkriće je počelo kada su analitičari primijetili neobičan skup malicioznih IP adresa koncentrisanih u ruralnom Novom Meksiku, što je dovelo do identifikacije otprilike 500 kompromitovanih uređaja širom svijeta.
Telnet Botnet koji koristi VoIP uređaje
Istraga je započela kada su inženjeri GreyNoisea otkrili ~90 zlonamjernih IP adresa koje potiču iz Pueblo of Laguna Utility Authority u Novom Meksiku, regije s nešto više od 3.000 stanovnika.
Sav promet s ovih kompromitovanih sistema bio je zasnovan na Telnetu, pokazujući karakteristike konzistentne s sudjelovanjem u botnetu, uključujući oznake “Telnet Bruteforcer”, “Generic IoT Default Password Attempt” i “Mirai”.
Koristeći analizu zasnovanu na vještačkoj inteligenciji putem svog Model Context Protocol (MCP) servera, istraživači su identifikovali jedinstveni mrežni otisak prsta: JA4t potpis 5840_2-4-8-1-3_1460_1, koji je predstavljao 90% malicioznog prometa.
Ovaj potpis ukazuje na slične hardverske konfiguracije na kompromitovanim hostovima, što sugeriše koordinirano ciljanje određenih tipova uređaja.
Analiza je potvrdila da su mnogi pogođeni sistemi bili VoIP uređaji, a hardver kompanije Cambium Networks je vjerovatno bio uključen u dijelove kampanje.
Ovi uređaji obično koriste stariji Linux firmver sa Telnet servisima koji su podrazumijevano dostupni, što ih čini atraktivnim metama za prijetnje.
Istraživači su također identifikovali približno 500 IP adresa širom svijeta koje pokazuju slične obrasce ponašanja.
Kompromitovani uređaji imali su zajedničke karakteristike: pokušaje prijave putem Telneta korištenjem slabih ili zadanih kredencijala, veliki broj sesija i ponašanje skeniranja usklađeno s poznatim varijantama Mirai botneta.
VoIP uređaji predstavljaju posebno atraktivne mete jer su često povezani na internet, slabo se prate i rijetko se ažuriraju.
Neki Cambium ruteri u pogođenoj infrastrukturi možda i dalje koriste verzije firmvera pogođene ranjivošću udaljenog izvršavanja koda (RCE) otkrivenom 2017. godine, iako istraživači nisu mogli potvrditi iskorištavanje te specifične CVE.
Kampanja pokazuje kako ranjivosti ostaju dio površine napada dugo nakon otkrivanja, pri čemu hakeri oportunistično ciljaju sisteme gdje god su dostupni.
Kada su istraživači GreyNoisea nakratko spomenuli aktivnost na društvenim mrežama, promet s te kompanije iz Novog Meksika potpuno je prestao, da bi ubrzo nakon toga ponovo porastao, što sugeriše da napadači aktivno prate diskusije sigurnosne zajednice.
Stručnjaci za sigurnost preporučuju organizacijama da odmah provjere izloženost Telnet protokolu na sistemima koji podržavaju VoIP, rotiraju ili onemoguće zadane akreditive na rubnim uređajima i implementiraju dinamičko blokiranje IP adresa kako bi se odbranile od ovih koordiniranih napada.
Izvor: CyberSecurityNews
