Нов Mirai-вариант „Broadside“ поразява морския сектор чрез критична уязвимост в DVR системи
8 декември 2025 г.
Изследователи от Cydome идентифицираха нов вариант на Mirai ботнета — наречен „Broadside“, който атакува морската логистична индустрия чрез експлоатиране на критична уязвимост в широко използвани DVR устройства.
Уязвимостта — CVE-2024-3721 — позволява remote command injection върху TBK DVR-4104 и DVR-4216 системи, инсталирани на множество плавателни съдове.
Как работи атаката
Broadside използва HTTP POST заявка към /device.rsp endpoint-а, което му позволява:
пълен контрол върху DVR системата;
Netlink-базиран stealth persistence (скрито наблюдение на процеси);
lateral movement към други системи на борда;
UDP flooding с polymorphic payloads, за да избегне филтри.
Това поведение значително надхвърля класическите Mirai DDoS техники — Broadside активно се опитва да ескалира права, да събира креденшъли и да се закрепи дългосрочно в инфраструктурата.
Защо морските оператори са особено уязвими
голяма част от флотите използват legacy системи, често без актуализации;
липса на киберперсонал на борда;
ограничена свързаност чрез сателит → лесно „задръстване“ на комуникацията;
възможност атака на една система да се разпространи върху цял флот.
Broadside остава активна кампания, като изследователите потвърждават C2 трафик през TCP/1026 и fallback към TCP/6969.
Какво означава това за OT/ICS средите
морските DVR-и често са „тих“ entry point към по-критичните OT системи;
комбинацията от IoT експлоатация + Netlink stealth техники е ново ниво на риск;
Mirai вече не е просто DDoS ботнет — еволюира към мултифункционална платформа за проникване.
DIAMATIX Perspective
Ботнети като Broadside показват, че:
OT/ICS сигурността вече не може да бъде отделена от IT сигурността;
уязвими IoT устройства в логистични, транспортни и енергийни сектори могат да предоставят вход за атаки на стратегически системи;
необходима е целогодишна видимост — 24/7 мониторинг, телеметрия от edge устройства, поведенчески анализ и бърз инцидентен отговор.
С Shield SIEM/XDR и MDR 360° DIAMATIX предоставя:
корелация между IoT, OT и IT събития;
ранно разпознаване на ботнет дейност;
откриване на нетипични Netlink процеси, аномалии по портове и C2 канали;
рамка за защита на флотилии, индустриални системи и критични оператори.
Източници
DarkReading — Mirai Variant “Broadside” Targets Maritime Sector via DVR Flaw
SecurityWeek — Threat Actors Exploit DVR CVE-2024-3721 in Maritime Environments
Cydome Research — Technical advisory for Broadside
MITRE CVE Program — CVE-2024-3721 official entry
Получавайте актуални новини и експертни анализи за киберсигурност
