Nos últimos meses, os pesquisadores da Radware têm monitorado a evolução de uma variante do botnet Mirai, chamada de "Dark.IoT", que começou a se propagar via CVE-2021-20090, uma vulnerabilidade da cadeia de suprimentos que afeta os dispositivos IoT fabricados por quase duas dúzias de fornecedores. Em 19 de agosto de 2021, os pesquisadores da Radware descobriram binários atualizados para esse botnet sem nome, mostrando que os operadores estão se preparando para aproveitar outra vulnerabilidade da cadeia de suprimentos divulgada recentemente pelo IoT Inspectors Research Lab. A vulnerabilidade, CVE-2021-35395, divulgada menos de uma semana antes do Dark.IoT integrá-la, afeta os dispositivos IoT fabricados por 65 fornecedores que usam os chipsets Realtek e SDK.

“Nos últimos seis meses, os operadores por trás do Dark.IoT tentaram alavancar mais de uma dúzia de exploits, incluindo a vulnerabilidade Realtek SDK divulgada mais recentemente,” disse Daniel Smith, chefe de pesquisa da Radware. “Os operadores por trás desta campanha se dedicam a encontrar e aproveitar novos exploits e capturar dispositivos mais vulneráveis que podem ser usados para lançar ataques DDoS mais significativos. É esperado que os operadores por trás do Dark.IoT continuem com esse padrão de aproveitar rapidamente as vulnerabilidades recentemente divulgadas até o final de 2021 ”.

Além da Palo Alto Networks, Juniper e Sam, pesquisadores da Radware têm monitorado de perto a evolução das vulnerabilidades do SDK da Realtek, e como elas estão sendo utilizadas através de uma variante do botnet Mirai e da exploração de dispositivos IoT.

A Radware nomeou esta variante da botnet Mirai como "Dark.IoT" baseada nos nomes de arquivos do malware, todos começando com "Dark", e os nomes de host de IoT ('lmaoiot.xyz'). Esta campanha de execução mais longa, que foi relatada pela primeira vez em fevereiro de 2021, fornece 13 diferentes vetores de ataque DDoS e utiliza mais de uma dúzia de explorações diferentes em sua propagação.

Embora muitos relatórios estejam cobrindo as vulnerabilidades e a lista de explorações, os pesquisadores da Radware podem oferecer uma visão mais detalhada:

Os perfis e padrões de comportamento dos operadores por trás deles.
Os objetivos dessas explorações: criar ataques DDoS com fins lucrativos.
Como os agentes mal-intencionados estão armando vulnerabilidades de segurança anunciadas por pesquisadores de segurança. (Dark.Iot é mais uma campanha que está capitalizando em torno das explorações divulgadas.)
A corrida entre os atacantes para explorar a vulnerabilidade primeiro. Esses atacantes não são necessariamente qualificados; eles não estão fazendo sua própria pesquisa; eles estão simplesmente aproveitando informações da comunidade de segurança.

O relatório Dark.Iot completo da Radware será publicado no site www.radware.com, mas podemos compartilhar com você a versão em DOC em Inglês hoje, e em Português na segunda-feira.

Além disso, os pesquisadores de ameaças da Radware estão disponíveis para mais informações.