Nova botnet “Ttint IoT” foi identificado explorando duas vulnerabilidades 0day em roteadores Tenda
Ttint é uma nova forma de botnet IoT que também inclui recursos semelhantes a ferramentas de acesso remoto (RAT), raramente vistos nesses tipos de botnets.
Por quase um ano, um ator de ameaças tem usado vulnerabilidades de dia zero para instalar malware em roteadores Tenda e construir um botnet IoT (Internet of Things).
Chamado de Ttint , esse botnet foi detalhado pela primeira vez em um relatório publicado na sexta-feira pela Netlab, a divisão de segurança de rede da gigante chinesa de tecnologia Qihoo 360.
Mas, ao contrário da miríade de botnets IoT desse tipo detectados no passado, os pesquisadores do Netlab disseram que o Ttint era diferente em vários níveis.
Ele não apenas infectou dispositivos para realizar ataques DDoS, mas também implementou 12 métodos diferentes de acesso remoto aos roteadores infectados, usou os roteadores como proxies para retransmitir o tráfego, adulterou o firewall do roteador e as configurações de DNS e até deu aos invasores a capacidade de execute comandos remotos nos dispositivos infectados.
“Dois dias zero, 12 funções de acesso remoto para o roteador, protocolo de tráfego criptografado e infra-estrutura que se move. Este botnet não parece ser um jogador muito comum”, disse Netlab na sexta-feira.
DOIS DIAS ZERO, NENHUM CORRIGIDO
De acordo com o relatório da empresa, o botnet parece ter sido implantado no ano passado, em novembro de 2019, quando a Netlab disse ter detectado Ttint abusando de seu primeiro dia zero Tenda para assumir roteadores vulneráveis.
O botnet continuou a explorar esse dia zero (rastreado como CVE-2020-10987) até julho de 2020, quando Sanjana Sarda, analista de segurança júnior da Independent Security Evaluators, publicou um relatório detalhado sobre a vulnerabilidade e quatro outros.
A Tenda não lançou um patch de firmware para resolver as descobertas da Sarda, mas os operadores da Ttint não esperaram para descobrir se o fornecedor iria corrigir o bug mais tarde.
Apenas algumas semanas depois, a Netlab disse que detectou Ttint abusando de um segundo dia zero nos mesmos roteadores Tenda.
A Netlab não publicou detalhes sobre esse dia zero, temendo que outros botnets também começassem a relatá-lo; no entanto, isso também não foi corrigido, mesmo que os pesquisadores da Netlab tenham dito que contataram a Tenda para informar a empresa.
A Netlab disse que qualquer roteador Tenda executando uma versão de firmware entre AC9 e AC18 deve ser considerado vulnerável. Como o Ttint foi visto alterando as configurações de DNS em roteadores infectados, provavelmente para redirecionar usuários para sites maliciosos, o uso de um desses roteadores não é recomendado.
Os proprietários de roteadores Tenda que desejam saber se estão usando um roteador vulnerável podem encontrar informações sobre a versão do firmware no painel de administração dos roteadores.
BASEADO EM MIRAI, MAS TAMBÉM EXPANDIDO
Mas botnets IoT que abusam do dia zero e fornecedores que atrasam patches não são uma novidade, neste ponto, em 2020. Há outros detalhes sobre o Ttint que chamaram a atenção da Netlab, mas também o interesse dos pesquisadores da Radware, que a ZDNet pediu para revisar o relatório.
Por baixo do capô, o Ttint foi construído no Mirai , uma família de malware IoT que vazou online em 2016. Desde que vazou online, houve incontáveis botnets que foram ramificações desta base de código original.
Cada operador de botnet tentou inovar e adicionar algo diferente, mas Ttint parece ter emprestado algo de cada um para construir uma versão Mirai mais complexa do que qualquer coisa antes.
“Não há nada realmente novo que foi usado por este bot que não tenhamos visto em outro malware IoT ou Linux ainda”, disse Pascal Geenens, evangelista de segurança cibernética da Radware .
“Dito isso, combinar seus recursos de novas maneiras e introduzir um protocolo C2 para adaptar e reconfigurar o bot para criar uma ferramenta de acesso remoto flexível é uma novidade para malware IoT.”
“As ferramentas RAT do Windows que são verdadeiros canivetes suíços já existem há um tempo. A IoT nunca alcançou a amplitude e a profundidade do malware do Windows, exceto para VPNfilter e agora Ttint”, disse Geenens.
“O Ttint pode marcar o início do amadurecimento do malware IoT geral e uma alavancagem mais ampla em campanhas mais sofisticadas”, disse o evangelista de segurança da Radware à ZDNet.
Fonte: https://www.zdnet.com/article/new-ttint-iot-botnet-caught-exploiting-two-zero-days-in-tenda-routers/
