Investigadores da empresa de segurança Qihoo 360 Netlab informaram que os cibercriminosos continuam a atacar os routers GPON Dasan. Eles recentemente identificaram agentes de ameaças usando outra nova falha zero-day que tira partido do routers e os “recruta” para a rede botnet.
A empresa de segurança se recusou a divulgar mais detalhes sobre essa falha para evitar mais ataques devastadores. No entanto, disse que foi capaz de reproduzir os efeitos destrutivos do ciber ataque.
Investigadores de segurança da Qihoo 360 Netlab descobriram que os responsáveis por trás da botnet TheMoon estão a aproveitar-se de uma vulnerabilidade zero-day para invaidar os routers GPON. A atividade da botnet TheMoon foi identificada pela primeira vez em 2014. Desde 2017 até ao momento, os responsáveis pela bot adicionaram ao código do bot pelo menos 6 exploits de dispositivos IoT.
A very special thing about this round is the attacking payload. It is different from all previous ones, so it looks like a 0day.” reads the analysis published by Netlab.
“And we tested this payload on two different versions of GPON home router, all work. All these make TheMoon totally different, and we chose NOT to disclose the attack payload details.”
TheMoon não é a única botnet direcionada aos routers GPON da Dasanl. Numa análise anterior concebida pela Netlab, os investigadores confirmaram que as redes de bots Hajime, Mettle, Mirai, Muhstik e Satori também têm explorado os CVE-2018-10561 e CVE-2018.
Destaque quer, o Netlab, junto com outras empresas de segurança, conseguiram derrubar os servidores C & C da botnet Muhstik.
De notar ainda que, apesar de um grande número de routers GPON estar exposto on-line, apenas 240.000 foram comprometidos, provavelmente porque o código de exploração usado pelos ciber atacantes não conseguiu infectar os dispositivos adequadamente.
