کمیته رکن چهارم – باتنت Mootbot از بهرهبرداریهای روز صفرم دوگانه برای به خطر انداختن انواع مختلف روترهای فیبر نوری استفاده میکند؛ کاری که سایر باتنتها نیز تاکنون سعی در انجام آن داشتهاند، اما با شکست روبرو شدهاند.
طبق نظر محققان آزمایشگاه NetLab ۳۶۰، عاملان باتنت Mootbot در فوریه شروع به بهرهبرداری از یک آسیبپذیری روز صفرم یافتشده در ۹ نوع مختلف روترهای فیبر نوری برای ایجاد دسترسی به اینترنت و Wi-Fi منازل و اماکن تجاری (شامل روتر Netlink GPON) کردند. این نقض یک آسیبپذیری اجرای کد از راه دور و بهرهبرداری از اثبات مفهوم عمومی (PoC) است؛ اما بهمنظور موفقیت در به خطر انداختن یک روتر، باید با یک آسیبپذیری دیگر ترکیب شود. بنابراین حتی اجرای موفقیتآمیز فرمانهای تزریق شده، دستگاه مورد نظر را به خطر نمیاندازد.
در ۱۷ مارس، این بهرهبرداری، بهرهبرداری روز صفرم تشخیص دادهشد و نتایج آزمایشها به CNCERT گزارش داده شد. با وجود ارزیابی اولیه، یک کد PoC برای آسیبپذیری یک روز بعد در ExploitDB ایجاد شد و یک روز پس از آن در ۱۹ مارس حملاتی با استفاده از PoC به منظور انتشار باتنت Gafgyt مشاهدهشد. چندروز پس آن باتنت کد PoC را برای انتقال به روتر دیگری استفادهکرد. بنابراین در ۲۴ مارس موج دیگری از بهرهبرداریها با استفاده از PoC به منظور انتشار باتنت Fbot ایجاد شد.
باتنت Moobot یک خانواده جدید باتنت مبتنی بر باتنتMirai است که دستگاههای اینترنت اشیاء (IoT) را به خطر میاندازد. با اینکه بیشتر باتنتهای IoT ممکن است دارای گذرواژههای ضعیف یا پیشفرض باشند، باتنت Moobot با استفاده از بهرهبرداریهای روز صفرم متمایز از سایر باتنتها میباشد. شایان ذکر است این بدافزار در ماه مارس از بهرهبرداریهای روز صفرم چندگانه برای هدف قرار دادن دستگاه LILIN DVR و دوربینهای IP استفادهمیکرد.
اگرچه جزئیاتی از دومین عامل موفقیت در زنجیره بهرهبرداری منتشر نشدهاست، آزمایشگاه NetLab ۳۶۰ پیشنهاد میکند برای محافظت در مقابل تهدید کاربرانی که دارای روترهای مبتنی بر فیبر نوری هستند، باید بهروزرسانیهای سیستمعامل خود و غیرفعال شدن حسابهای پیشفرض را بررسی کنند.
محققی به نام Jack Mannino، متخصص سئو در nVisium، اعلام کرد تمرکز بر روترها به مهاجمان مزایای خاصی میدهد. کنترل زیرساختهای شبکه به منظور استفاده در حملات آینده، همیشه یک هدف جذاب برای مهاجمان بودهاست. بهعنوان یک توسعهدهنده نرمافزار، باید در نظر گرفت که ممکن است شبکههای ارائهدهنده محصولات، به خطر افتاده و به مدلهای تهدید مهاجمان تبدیل شود.
با نگاهی اجمالی بر باتنتهای قبلی مانند Mirai، درمییابیم که این کمپینها میتوانند اطلاعاتی مانند سطح دستیابی به ترافیک شبکه، نقاط توقف یا تقویتکنندههای حملات DDoS را به دست آورند. گروههای امنیتی بیشتری بر روی انتشار وصله خود تمرکز میکنند تا دستگاههایی را که معمولاً مستقیماً به اینترنت متصل میشوند، بهروز کنند.
منبع: مرکز ماهر
