Beastmode Botnet

Der Quellcode des berüchtigten Mirai-Botnetzes wurde bereits 2016 der Öffentlichkeit zugänglich gemacht. Cyberkriminelle verschwendeten keine Zeit und begannen, ihren neu entdeckten Zugang zum Code zu missbrauchen, um ihre eigenen Botnetz-Varianten zu erstellen. Auch sechs Jahre später dient Mirai immer noch als Basis für neue potente Motorhauben. Ein Beispiel ist das Beastmode-Botnet, das sich noch immer in aktiver und kontinuierlicher Entwicklung befindet.

Tatsächlich haben Infosec-Forscher beobachtet, dass Beastmode sein Arsenal an ausgenutzten Schwachstellen aktualisiert hat, um nun 5 neue einzuschließen. Drei davon – CVE-2022-26210, CVE-2022-26186 und die Familie der Schwachstellen zwischen CVE-2022-25075 und 25084 – können verwendet werden, um TOTOLINK-Router zu kompromittieren. Die Exploits wurden der Bedrohung nur eine Woche nach der Veröffentlichung auf GitHub hinzugefügt. Darüber hinaus zielt das Botnetz über die Schwachstelle CVE-2021-45382 auch auf mehrere veraltete D-LINK-Produkte ab. Produkte von TP-Link, Huwaei, NETGEAR und NUUO NVRmimi2 und NVRsolo gehörten ebenfalls zu den Zielen der bedrohlichen Beastemode-Angriffskampagne.

Die Hauptfunktionalität des Botnetzes betrifft das Starten von DDoS-Angriffen (Distributed Denial-of-Service). Durch das Senden einer großen Menge von Anfragen an ein ausgewähltes Ziel können die Cyberkriminellen den normalen Betrieb ihres Opfers für einen längeren Zeitraum stören. Sowohl Benutzer als auch Organisationen sollten die Aktualisierung der Firmware ihrer Geräte nicht verzögern. Schließlich haben die Betreiber des Beastmode-Botnetzes ihre Fähigkeit unter Beweis gestellt, neue Schwachstellen schnell einzubauen und versehentliche Fehler zu beseitigen. Sie brauchten nur drei Tage, um einen Tippfehler zu entfernen, den Cybersicherheitsforscher in der URL entdeckt hatten – die vom beobachteten Gerät verwendete „downloadFlile.cgi“ wurde durch „downloadFile.cgi“ ersetzt.