Εδώ και ένα χρόνο περίπου, χάκερς εκμεταλλεύονται zero-day ευπάθειες, με στόχο να εγκαταστήσουν malware σε Tenda routers και να δημιουργήσουν ένα IoT (Internet of Things) botnet που ονομάζεται “Ttint”. Αυτό το botnet αναλύθηκε για πρώτη φορά σε μια έκθεση που δημοσιεύτηκε στο τέλος της προηγούμενης εβδομάδας από το Netlab, το τμήμα ασφάλειας δικτύου του κινεζικού τεχνολογικού γίγαντα Qihoo 360. Σε αντίθεση με άλλα IoT botnets που είχαν εντοπιστεί στο παρελθόν, οι ερευνητές του Netlab δήλωσαν ότι το Ttint IoT botnet διαφέρει σε πολλά επίπεδα.

Συγκεκριμένα, το Ttint IoT botnet δεν μολύνει μόνο συσκευές για να εκτελέσει DDoS επιθέσεις, αλλά εφαρμόζει επίσης 12 διαφορετικές μεθόδους απομακρυσμένης πρόσβασης στα μολυσμένα routers, χρησιμοποιεί τα routers ως διακομιστές μεσολάβησης για την αναμετάδοση της κυκλοφορίας, αλλοιώνει το firewall του router και τις ρυθμίσεις DNS και επιτρέπει στους εισβολείς να εκτελέσουν απομακρυσμένες εντολές στις μολυσμένες συσκευές.

Σύμφωνα με την έκθεση της εταιρείας, το Ttint IoT botnet φαίνεται να αναπτύχθηκε πέρυσι, τον Νοέμβριο του 2019, όταν το Netlab είπε ότι εντόπισε ότι το botnet εκμεταλλεύτηκε την πρώτη zero-day ευπάθεια των Tenda routers για να αναλάβει τις ευάλωτες συσκευές.

Το Ttint IoT botnet συνέχισε να εκμεταλλεύεται αυτή τη zero-day ευπάθεια που εντοπίζεται ως CVE-2020-10987 μέχρι τον Ιούλιο του 2020, όταν η Sanjana Sarda, Junior αναλύτρια ασφαλείας στην Independent Security Evaluators, δημοσίευσε μια λεπτομερή αναφορά για αυτή την ευπάθεια καθώς και για άλλες τέσσερις ευπάθειες.

Η Tenda δεν κυκλοφόρησε ενημέρωση κώδικα firmware για να μετριάσει τα ευρήματα της Sarda, αλλά οι χειριστές του Ttint δεν περίμεναν για να μάθουν αν ο προμηθευτής επρόκειτο να διορθώσει το σφάλμα του αργότερα. Λίγες εβδομάδες μετά, το Netlab εντόπισε ότι το Ttint εκμεταλλεύτηκε και μια δεύτερη zero-day ευπάθεια στα ίδια Tenda routers.

Σύμφωνα με το ZDNet, το Netlab δεν δημοσίευσε λεπτομέρειες σχετικά με τη zero-day ευπάθεια, φοβούμενο ότι και άλλα botnets

θα άρχιζαν να το αναφέρουν. Ωστόσο, αυτό δεν επιδιορθώθηκε, ακόμα κι αν οι ερευνητές του Netlab είπαν ότι ενημέρωσαν την Tenda.

Το Netlab επεσήμανε πως οποιοδήποτε Tenda router εκτελεί έκδοση firmware μεταξύ AC9 έως AC18, πρέπει να θεωρείται ευάλωτο. Δεδομένου ότι το Ttint έχει αλλάξει τις ρυθμίσεις DNS σε μολυσμένα routers, πιθανότατα να ανακατευθύνει τους χρήστες σε κακόβουλα sites, επομένως δεν συνιστάται η χρήση ενός από αυτά τα routers.

Οι κάτοχοι Tenda routers που θέλουν να μάθουν εάν χρησιμοποιούν ένα ευάλωτο router, μπορούν να βρουν πληροφορίες έκδοσης firmware στον πίνακα διαχείρισης των routers.

Τα IoT botnets που εκμεταλλεύονται zero-day ευπάθειες και οι πωλητές που καθυστερούν τις ενημερώσεις κώδικα δεν αποτελούν καινούργιο φαινόμενο. Υπάρχουν άλλες λεπτομέρειες σχετικά με τοTtint που τράβηξαν την προσοχή του Netlab, αλλά και το ενδιαφέρον των ερευνητών της Radware. Ειδικότερα, το Ttint IoT botnet “χτίστηκε” πάνω στο Mirai, μια οικογένεια IoT malware που διέρρευσε στο διαδίκτυο το 2016. Από τη στιγμή της διαρροής του, υπήρχαν αμέτρητα botnets που ήταν παρακλάδια αυτής της αρχικής βάσης κώδικα.

Κάθε χειριστής botnet προσπάθησε να καινοτομήσει και να προσθέσει κάτι διαφορετικό, αλλά το Ttint IoT botnet φαίνεται να δανείστηκε κάτι από το καθένα για να δημιουργήσει μια παραλλαγή του Mirai, πιο περίπλοκη από οποιαδήποτε άλλη. Το Ttint θα μπορούσε να σηματοδοτήσει την αρχή της ωρίμανσης του γενικού κακόβουλου IoT software και της ευρύτερης μόχλευσης σε πιο εξελιγμένες εκστρατείες, σύμφωνα με την Radware.