Vallandunud kaos: Condi pahavara võtab TP-Linki Wi-Fi-ruuterite üle kontrolli laastavate DDoS-i robotivõrkude rünnakute jaoks

Äsja avastatud pahavara Condi on tõusnud oluliseks ohuks, kasutades ära TP-Link Archer AX21 (AX1800) Wi-Fi ruuterite turvaauku. Selle peamine eesmärk on kasutada neid ohustatud seadmeid, koondades need võimsaks DDoS-i (Distributed Denial-of-Service) robotvõrguks. Teadlased on täheldanud kampaania intensiivsuse järsku tõusu alates 2023. aasta mai lõpust.

Kes on Condi taga?

Condi ideejuht on isik, keda tuntakse võrgunime zxcr9999 järgi ja kes reklaamib aktiivselt oma ebaseaduslikku tegevust Telegrami kanali Condi Network kaudu. Alates 2022. aasta maist on ohunäitleja oma botneti raha teeninud, pakkudes DDoS-i teenusena ja isegi müües pahavara lähtekoodi. Turvateadlased on pahavara põhjalikult analüüsinud, avastades selle võime kõrvaldada samas hostis konkureerivad robotivõrgud. Condil puudub aga püsivusmehhanism, mistõttu see ei suuda süsteemi taaskäivitamist üle elada.

Süsteemi taaskäivitamise järgse püsivuse piirangu ületamiseks võtab Condi meetmeid, kustutades mitu binaarfaili, mis vastutavad süsteemi sulgemise või taaskäivitamise eest. Nende kahendfailide hulka kuuluvad /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt ja /usr/bin/halt. Väärib märkimist, et Mirai botnet kasutas varem sihitud haavatavust.

Vastupidiselt muule laialt levinud pahavarale kasutab Condi skannerimoodulit, et tuvastada TP-Link Archer AX21 ruuterid, mis on CVE-2023-1389 suhtes haavatavad (CVSS skoor: 8,8). Selle asemel, et kasutada jõhkra jõuga rünnakuid, nagu mõned robotvõrgud, käivitab Condi kaugserverist saadud kestaskripti, et salvestada pahavara tuvastatud seadmetesse.

Turvaanalüütikute sõnul on välja tulnud mitu Condi eksemplari, mis kasutavad levitamiseks ära erinevaid teadaolevaid turvaauke. See näitab, et parandamata tarkvara kasutavad seadmed on selle botneti pahavara sihtmärgiks eriti vastuvõtlikud. Lisaks agressiivsele monetiseerimistaktikale on Condi peamine eesmärk seada ohtu seadmeid ja luua tohutu DDoS-i robotvõrk. Seda botnetti saab seejärel rentida teistele ohus osalejatele, võimaldades neil käivitada TCP- ja UDP-üleujutusrünnakuid sihitud veebisaitidele ja teenustele.

Robotivõrkude neutraliseerimine on turvalise ja stabiilse digitaalse ökosüsteemi säilitamisel ülimalt oluline. Botivõrgud, nagu Condi pahavara, võivad ära kasutada paigatamata tarkvara haavatavusi ja kasutada kahjustatud seadmete võrku kahjulike tegevuste, näiteks DDoS-i rünnakute jaoks. Need rünnakud häirivad võrguteenuseid ja ohustavad märkimisväärselt kriitilise infrastruktuuri terviklikkust ja kättesaadavust. Üksikisikud, organisatsioonid ja turbespetsialistid peavad jääma valvsaks, hoidma tarkvara ajakohasena ning kasutama tugevaid turvameetmeid, et tuvastada ja leevendada botnetiohtusid. Botivõrke aktiivselt neutraliseerides saame kaitsta oma digitaalset keskkonda ja aidata kaasa turvalisema võrgukeskkonna loomisele kõigi kasutajate jaoks.