En ny variant av Muhstik attackerar routers för att bygga upp nätverk som kan användas för överbelastningsattacker och för att utvinna kryptovaluta. Routrar som använder open source-programvaran Tomato är öppna för angreppen, som rapporterats av IT-säkerhetsleverantören Palo Alto Networks.

Den nya varianten av Muhstik upptäcktes före jul av Palo Alto Networks researchers. Det nya med denna version är att den adderar en scanner som hittar och gör intrång i routrar med programvaran Tomato. Den bygger sedan upp botnets som kan användas för olika ändamål av de som står bakom angreppen.

Tomato kan finnas på hemmaroutrar från en rad kända tillverkare som Asus, Linksys och Netgear. Programvaran är ett open source-alternativ för firmware för routrar. Tomato har blivit populär tack vara att den är stabil och välfungerande. Den följer inte med från fabriken utan installeras vanligen av slutanvändare.

Muhstik är ett botnet som funnits sedan våren 2018 och som har en maskliknande metod för att infektera Linuxservrar och IoT-enheter – det vill säga smarta, internetuppkopplade apparater av olika slag. Att den väljer IoT-enheter som mål har sannolikt att göra med att dessa ofta saknar säkerhetsuppdateringar och därför har sårbarheter som kan utnyttjas.

För att genomföra intrången använder Muhstik sedan tidigare en rad sårbarheter i Weblogic, WordPress och Drupal. Den kan också göra intrång i IoT-routrar. Den senaste månaden har den alltså även infekterat routrar som använder Tomato.

Muhstiks botnet har huvudsakligen använts för att utvinna kryptovalutor som Bitcoin och för överbelastningsattacker (DDoS). På så sätt tjänar intrången pengar åt de som ligger bakom dem.

Palo Alto Networks uppmanar slutanvändare att vara försiktiga med att installera open source-firmware och följa programvarans säkerhetsinstruktioner.

Filed under: Utländsk Teknik