باتنت MOOTBOT
باتنت Mootbot از بهرهبرداریهای روز صفرم دوگانه برای به خطر انداختن انواع مختلف روترهای فیبر نوری استفاده میکند. درواقع، سایر باتنتها نیز تاکنون سعی در انجام این کار را داشتهاند، اما با شکست روبرو شدهاند. طبق نظر محققان آزمایشگاه NetLab 360، عاملان باتنت Mootbot در فوریه شروع به بهرهبرداری از یک آسیبپذیری روز صفرم یافت شده در 9 نوع مختلف روترهای فیبر نوری، برای ایجاد دسترسی به اینترنت و Wi-Fi منازل و اماکن تجاری (شامل روتر Netlink GPON) کردند. این نقض یک آسیبپذیری اجرای کد از راه دور و بهرهبرداری از اثبات مفهوم عمومی (PoC) است؛ اما بهمنظور موفقیت در به خطر انداختن یک روتر، باید با یک آسیبپذیری دیگر ترکیب شود. بنابراین حتی اجرای موفقیتآمیز فرمانهای تزریق شده، دستگاه مورد نظر را به خطر نمیاندازد. در 17 مارس، این بهرهبرداری، بهرهبرداری روز صفرم تشخیص داده شد و نتایج آزمایشات به CNCERT گزارش داده شد. با وجود ارزیابی اولیه، یک کد PoC برای آسیبپذیری یک روز بعد در ExploitDB ایجاد شد و یک روز پس از آن، در 19 مارس حملاتی با استفاده از PoC به منظور انتشار باتنت Gafgyt مشاهده شد. چند روز پس آن باتنت کد PoC را برای انتقال به روتر دیگری استفاده کرد. بنابراین در 24 مارس موج دیگری از بهرهبرداریها با استفاده از PoC به منظور انتشار باتنت Fbot ایجاد شد. 1 در مورد بدافزار باتنت Moobot یک خانواده جدید باتنت مبتنی بر باتنتMirai است که دستگاههای اینترنت اشیاء (IoT) را به خطر میاندازد. با اینکه بیشتر باتنتهای IoT ممکن است دارای گذرواژههای ضعیف یا پیشفرض باشند، باتنت Moobot با استفاده از بهرهبرداریهای روز صفرم متمایز از سایر باتنتها میباشد. شایان ذکر است این بدافزار در ماه مارس از بهرهبرداریهای روز صفرم چندگانه برای هدف قرار دادن دستگاه LILIN DVR و دوربینهای IP استفاده میکرد. اگرچه جزئیاتی از دومین عامل موفقیت در زنجیره بهرهبرداری منتشر نشده است، آزمایشگاه NetLab 360 پیشنهاد میکند برای محافظت در مقابل تهدید کاربرانی که دارای روترهای مبتنی بر فیبر نوری هستند، باید بهروزرسانیهای سیستمعامل خود و غیرفعال شدن حسابهای پیشفرض را بررسی کنند. محققی به نام Jack Mannino، متخصص سئو در nVisium، اعلام کرد تمرکز بر روترها به مهاجمان مزایای خاصی میدهد. کنترل زیرساختهای شبکه به منظور استفاده در حملات آینده، همیشه یک هدف جذاب برای مهاجمان بوده است. بهعنوان یک توسعهدهنده نرمافزار، باید در نظر گرفت که ممکن است شبکههای ارائهدهنده محصولات، به خطر افتاده و به مدلهای تهدید مهاجمان تبدیل شود. با نگاهی اجمالی بر باتنتهای قبلی مانند Mirai، درمییابیم که این کمپینها می توانند اطلاعاتی مانند سطح دستیابی به ترافیک شبکه، نقاط توقف یا تقویتکنندههای حملات DDoS را به دست آورند. گروههای امنیتی بیشتری بر روی انتشار وصله خود تمرکز میکنند تا دستگاههایی که معمولاً مستقیماً به اینترنت متصل میشوند را بهروز کنند.