A Juniper Networks arra figyelmeztette ügyfeleit, hogy a Mirai malware azokat a Session Smart Routereket (SSR) veszi célba, melyek alapértelmezett hitelesítő adatokkal rendelkeznek. A támadások során a rosszindulatú program megkeresi az alapértelmezett bejelentkezési adatokkal rendelkező eszközöket, majd a hozzáférés megszerzése után távolról hajtja végre a parancsokat, ezáltal rosszindulatú tevékenységek széles skáláját teszi lehetővé. A kampányt először 2024. december 11-én figyelték meg, amikor megtalálták az első fertőzött routereket az ügyfelek hálózatain. Majd később ennek a Mirai-alapú botnetnek az üzemeltetői a feltört eszközöket DDoS (Distributed Denial-of-Service) támadások indítására használták.
A Juniper felhívta a rendszergazdák figyelmét arra is, hogy milyen jelek utalhatnak arra, hogy a hálózataik és eszközeik Mirai malwarrel fertőződött meg:
- eszközök keresése a közös Layer 4 portokon (például 23, 2323, 80, 8080),
- sikertelen bejelentkezési kísérletek az SSH szolgáltatásokon, ami brute force támadásokra utal,
- a kimenő forgalom hirtelen megugrása, ami arra utal, hogy az eszközöket DDoS-támadásokhoz használják,
- az eszközök újraindulnak vagy hibásan viselkednek, ami arra utal, hogy feltörték őket,
- SSH-kapcsolódások ismert rosszindulatú IP-címekről.
A vállalat azt tanácsolta az ügyfeleknek, hogy tartsák be az ajánlott felhasználónév- és jelszóirányelveket az eszközeiken, úgymint az alapértelmezett bejelentkezési adatok megváltoztatása az összes Session Smart Routeren, valamint egyedi és erős jelszó használata minden eszközön.
A rendszergazdáknak pedig azt javasolják, hogy:
- folyamatosan frissítsék a firmware-t,
- nézzék át a hozzáférési naplókat anomáliák szempontjából,
- állítsanak be automatikus riasztásokat gyanús tevékenység észlelésekor,
- telepítsenek behatolásérzékelő rendszereket a hálózati tevékenység monitorozására, valamint
- tűzfalak segítségével blokkolják az interneten elérhető eszközökhöz való jogosulatlan hozzáférést.
