RondoDoxi botnet
RondoDoxi botneti ärakasutavad pahavarakampaaniad on oma rünnakupinda dramaatiliselt laiendanud, sihtides nüüd enam kui 50 haavatavust enam kui 30 tarnija juures. Turvaeksperdid kirjeldavad seda lähenemisviisi kui „ärakasutamise haavlipüssi“, mis peegeldab valimatut sihtimist laiale hulgale internetile avatud infrastruktuurile. Mõjutatud süsteemide hulka kuuluvad ruuterid, digitaalsed videosalvestid (DVR), võrgusalvestid (NVR), CCTV-süsteemid, veebiserverid ja arvukad muud võrguühendusega seadmed.
Sisukord
Varased sissetungid ja ajalooline kontekst
Esimene märkimisväärne RondoDoxi tegevus täheldati 2025. aasta juulis, kui teadlased dokumenteerisid rünnakuid TBK DVR-ide ja Four-Faith ruuterite vastu. Need seadmed kaasati botnetisse, mis oli loodud hajutatud teenusetõkestamise (DDoS) rünnakute läbiviimiseks HTTP, UDP ja TCP protokollide kaudu.
15. juunil 2025 tuvastati konkreetne sissetungikatse, mis oli suunatud TP-Link Archeri ruuteritele CVE-2023-1389 kaudu – see on viga, mida on pärast selle avalikustamist 2022. aasta lõpus korduvalt ära kasutatud. Need juhtumid toovad esile RondoDoxi pideva arengu oportunistlikest ühe seadme rünnakutest laiemate ja koordineeritumate kampaaniateni.
Laiendatud levitamine laadur-teenusena
RondoDox võttis hiljuti kasutusele laadur-teenusena (LaaS) mudeli, pakendades oma kasuliku teabe koos Mirai ja Morte pahavaraga. See taktika võimaldab ründajatel levitada korraga mitut ohtu, mis raskendab avastamist ja parandamist.
Selle laiendatud kampaania peamised omadused on järgmised:
- Nõrkade volituste, puhastamata sisendite ja pärand-CVE-de kasutamine seadmete ohtu seadmiseks
- SOHO ruuterite, IoT-seadmete ja ettevõtterakenduste sihtimine
- Mitmevektoriline ärakasutamine, mis annab märku nihkest ühe seadme oportunismist koordineeritud botnettide juurutamiseni
Laialdane ärakasutamise arsenal
RondoDox kasutab nüüd ligi 56 haavatavust, millest 18-l puuduvad CVE-identifikaatorid. Kasutatud süsteemid hõlmavad laia valikut müüjaid, sealhulgas:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion ja Cisco.
See kasvav arsenal näitab botneti kasvavat keerukust ja võimet ära kasutada nii tuntud kui ka varem dokumenteerimata haavatavusi.
Mõju küberturvalisusele
RondoDoxi uusimad kampaaniad kujutavad endast olulist arengut automatiseeritud võrgu ärakasutamises. Kombineerides laadur-teenusena toiminguid laiendatud ärakasutamise komplektiga, liiguvad ründajad üksikute seadmete vastu suunatud oportunistlikest rünnakutest strateegiliste, mitme vektoriga botnet-operatsioonide poole.
Turvameeskonnad peavad jääma valvsaks, seades esikohale teadaolevate haavatavuste parandamise, kahtlase võrgutegevuse jälgimise ja ennetavate tuvastusvahendite rakendamise, et leevendada nende kiiresti arenevate ohtude põhjustatud riski.
