Ballista robotvõrk
Tuvastati uus botneti kampaania nimega Ballista, mis on otseselt suunatud paigatamata TP-Link Archeri ruuteritele. Küberturbeteadlased on leidnud, et botnet kasutab Internetis levimiseks ära koodi kaugkäitamise (RCE) haavatavust (CVE-2023-1389). See väga tõsine viga mõjutab TP-Link Archer AX-21 ruutereid, võimaldades ründajatel kaugjuhtimisega käske täita ja seadme üle kontrolli võtta.
Sisukord
Kasutamise ajakava
Aktiivse ärakasutamise tõendid pärinevad 2023. aasta aprillist, mil tundmatud ohus osalejad kasutasid esimest haavatavust Mirai botneti pahavara levitamiseks. Sellest ajast alates on seda kasutatud teiste pahavaratüvede, sealhulgas Condi ja AndroxGh0st levitamiseks, suurendades veelgi selle ulatust ja mõju.
Kuidas rünnak töötab
Rünnakute jada algab pahavara tilgutiga – kestaskriptiga nimega „dropbpb.sh”, mis laadib alla ja käivitab sihitud ruuterites pahatahtliku binaarfaili. Pahavara on loodud töötama mitmel süsteemiarhitektuuril, sealhulgas MIPS, mipsel, armv5l, armv7l ja x86_64. Pärast installimist loob see pordis 82 krüpteeritud käsu-ja juhtimise (C2) kanali, mis võimaldab ründajatel nakatunud seadet kaugjuhtida.
Ballista robotivõrgu võimalused
Süsteemi sisenedes võimaldab Ballista ründajatel täita mitmesuguseid käske, sealhulgas:
- Üleujutus – käivitab üleujutuspõhise teenusekeelu (DoS) rünnaku.
- Exploiter – kasutab CVE-2023-1389 täiendavate ruuterite nakatamiseks.
- Käivitamine – käivitab kasutatavuse mooduli.
- Sule – peatab ärakasutusmooduli.
- Shell – käivitab nakatunud süsteemis Linuxi shellikäsud.
- Killall – lõpetab töötava pahavarateenuse.
Lisaks võib pahavara kustutada jäljed oma kohalolekust ja levida iseseisvalt, otsides ja kasutades haavatavaid seadmeid.
Itaalia ühenduse märgid
Ballista infrastruktuuri analüüs paljastab Itaalia seose. Pahavara kahendfailid sisaldavad itaaliakeelseid stringe ja algset C2-serverit hostiti Itaalia IP-aadressil 2.237.57.70. Paistab aga, et pahavara on pidevas arenduses, kuna uuemad versioonid kasutavad nüüd kõvakodeeritud IP-aadresside asemel TOR-i võrgudomeene.
Globaalne mõju: tuhanded ruuterid on ohus
Sihtotsing näitab, et Ballista on juba mõjutanud üle 6000 seadme. Kõige haavatavamad piirkonnad on Brasiilia, Poola, Ühendkuningriik, Bulgaaria ja Türgi. Arvestades selle aktiivset arengut, on see botnet endiselt märkimisväärne oht paigatamata ruuteritele kogu maailmas.
