Saat melacak aktivitas botnet pada lalu lintas honeypot, periset keamanan di perusahaan keamanan TI China, Qihoo 360 Netlab menemukan varian baru Mirai – malware botnet IoT yang terkenal dan menimbulkan malapetaka tahun lalu.
Pekan lalu, periset melihat adanya peningkatan trafik pemindaian port 2323 dan 23 dari ratusan ribu alamat IP unik dari Argentina dalam waktu kurang dari satu hari.
Pemindaian port yang ditargetkan secara aktif mencari perangkat IoT rentan yang diproduksi oleh ZyXEL Communications menggunakan dua kombinasi kredensial telnet default, admin/CentryL1nk dan admin/QwestM0dem untuk mendapatkan hak akses root pada perangkat yang ditargetkan.
Menurut periset, kampanye yang sedang berlangsung ini adalah bagian dari varian baru Mirai yang telah ditingkatkan untuk memanfaatkan kerentanan yang baru dirilis (diidentifikasi sebagai CVE-2016-10401) di modem ZyXEL PK5001Z.
“Perangkat ZyXEL PK5001Z memiliki zyad5001 sebagai kata sandi su (superuser), yang mempermudah penyerang untuk mendapatkan akses root jika kata sandi akun non-root diketahui (atau akun default non-root ada di dalam penyebaran ISP terhadap perangkat ini),” menurut deskripsi kerentanan.
Mirai adalah malware botnet IoT yang membuat perusahaan besar menjadi offline tahun lalu dengan meluncurkan serangan DDoS besar-besaran terhadap Dyndns, melumpuhkan beberapa situs terbesar di dunia, termasuk Twitter, Netflix, Amazon, Slack, dan Spotify.
Serangan berbasis Mirai mengalami kenaikan mendadak setelah seseorang berinisial Anna-Senpai mempublikasikan source codenya pada bulan Oktober 2016. Saat ini, ada beberapa varian botnet Mirai yang menyerang perangkat IoT.
Ancaman terbesar jika source code nya di publikasikan adalah memungkinkan penyerang meng-upgradenya dengan eksploitasi yang baru sesuai dengan kebutuhan dan target mereka.
Ini bukan pertama kalinya ketika botnet Mirai menargetkan perangkat IoT yang diproduksi oleh ZyXEL. Tepat setahun sebelumnya, jutaan router Zyxel ditemukan rentan terhadap kerentanan kritis remote code execution, yang mana dieksploitasi oleh Mirai.
