Chinesische Forscher haben eine Variante von Mirai entdeckt, die gezielt auf industrielle Router und Smart-Home-Geräte mit Zero-Day-Schwachstellen, Fehlkonfigurationen und schwachen Passwörtern abzielt. Rund 15.000 aktive IP-Adressen wurden identifiziert.

Ein neues bösartiges Botnetz wurde kürzlich beobachtet, das sich über Zero-Day-Schwachstellen verbreitet und industrielle Router sowie Smart-Home-Geräte übernimmt. Cybersecurity-Forscher des chinesischen Unternehmens Qi’anxin XLab behaupten, dass das Botnetz auf Mirai basiert, einem berüchtigten Schadprogramm, das für einige der größten und verheerendsten Distributed-Denial-of-Service-(DDoS)-Angriffe verantwortlich ist. Die neuen Versionen unterscheiden sich jedoch erheblich vom ursprünglichen Mirai, da sie mehr als 20 Schwachstellen ausnutzen und sich auf schwache Telnet-Passwörter als Verbreitungs- und Verbreitungsmittel konzentrieren. Einige der Schwachstellen wurden noch nie zuvor gesehen und haben noch keine CVEs zugewiesen. Zu den betroffenen Geräten gehören Fehler in Neterbit-Routern und Vimar Smart-Home-Geräten.

Intensive Angriffe
Die Forscher haben auch beobachtet, dass CVE-2024-12856 verwendet wird, um Geräte zu infizieren. Dies ist eine hochkritische (7,2/10) Befehlsinjektions-Schwachstelle, die in Four-Faith-Industrieroutern gefunden wurde. Das Botnetz trägt den Namen „gayfemboy“ und zählt anscheinend etwa 15.000 aktive IP-Adressen in den USA, der Türkei, dem Iran, China und Russland. Das Botnetz zielt hauptsächlich auf diese Geräte ab, daher sollten Benutzer dieser Geräte nach Anzeichen von Kompromittierung Ausschau halten. Zu den betroffenen Geräten gehören ASUS-Router, Huawei-Router, Neterbit-Router, LB-Link-Router, Four-Faith-Industrierouter, PZT-Kameras, Kguard-DVR, Lilin-DVR, generische DVRs, Vimar Smart-Home-Geräte und andere verschiedene 5G/LTE-Geräte mit Fehlkonfigurationen oder schwachen Zugangsdaten.

Derzeitige Angriffe
Wer auch immer hinter diesem Botnetz steckt, verschwendet keine Zeit. Seit Februar des vergangenen Jahres führt es verschiedene DDoS-Angriffe durch, wobei die Höchstleistung im Oktober und November 2024 erreicht wurde. Die Angriffsziele befinden sich hauptsächlich in China, den USA, Großbritannien, Deutschland und Singapur. Die Angriffe dauern in der Regel zwischen 10 und 30 Sekunden und sind ziemlich intensiv und überschreiten 100 Gbit/s im Datenverkehr, was selbst die robustesten Infrastrukturen beeinträchtigen kann. „Die Angriffsziele sind auf der ganzen Welt verteilt und in verschiedenen Branchen zu finden“, sagten die Forscher. „Die Hauptziele der Angriffe sind in China, den USA, Deutschland, Großbritannien und Singapur verteilt“, schlussfolgerten sie. Via BleepingComputer.