Mirai_ptea Botnet

Im Rahmen aktiver Bedrohungsoperationen wurde eine neue Variante auf Basis des berüchtigten Mirai-Botnets entdeckt. Die neue Bedrohung, die von Malware-Forschern Mirai_ptea genannt wird, nutzt eine Schwachstelle in KGUARD DVR-Geräten aus. Bestimmte Details über die spezifische Schwachstelle werden unter Verschluss gehalten, aber kurz gesagt ermöglicht es den Angreifern, auf das rsSystemServer-Programm auf der KGUARD DVR-Firmware zuzugreifen und dann auf Port 56*** bei 0.0.0.0 zu lauschen, um beliebige Systembefehle aus der Ferne auszuführen, ohne sich authentifizieren zu müssen. Es sei darauf hingewiesen, dass dieser spezielle Exploit in Firmware-Versionen behoben wurde, die nach 2017 veröffentlicht wurden. Dennoch entdeckten die infosec-Forscher etwa 3.000 verwundbare Geräte, die von Mirai_ptea kompromittiert werden können. Die meisten der bereits beschädigten Geräte scheinen sich in den USA zu befinden, gefolgt von Korea und Brasilien.

Bedrohungspotenziale

Das Mirai Botnet erlangte bereits 2016 Berühmtheit, und kurz darauf wurde sein Quellcode in Hacker-Foren durchgesickert, wodurch die Bedrohung effektiv in Open-Source-Malware umgewandelt wurde. Seitdem haben skrupellose Cyberkriminelle zahlreiche Bedrohungen geschaffen, die sich unterschiedlich auf den ursprünglichen Mirai-Code verlassen. Was Mira_ptea betrifft, so zeigt die Analyse seines Codes und seiner Aktivitäten, dass es auf der Verhaltensebene des Hosts fast identisch mit Mirai ist. Die Hauptunterschiede liegen in der Art und Weise, wie Mirai_ptea seinen Netzwerkverkehr handhabt. Tatsächlich wurde sein Name von zweien abgeleitet - der Verwendung eines TOR-Proxys für die Kommunikation mit dem Command-and-Control (C2, C&C)-Server und der Abhängigkeit von TEA (Tine Encryption Algorithm), um sensible Ressourcendaten zu maskieren. Die Hauptbedrohungsfunktion von Mirai_ptea ist die Durchführung von DDoS-Angriffen (Distributed Denial-of-Service) und die Bedrohung wurde bei aktiven Angriffen gegen ausgewählte Ziele eingesetzt.