Ballista Botnet
Uusi botnet-kampanja nimeltä Ballista on tunnistettu, ja se kohdistuu nimenomaan korjaamattomiin TP-Link Archer -reitittimiin. Kyberturvallisuustutkijat ovat havainneet, että botnet hyödyntää Remote Code Execution (RCE) -haavoittuvuutta (CVE-2023-1389) levittääkseen Internetissä. Tämä erittäin vakava virhe vaikuttaa TP-Link Archer AX-21 -reitittimiin, jolloin hyökkääjät voivat suorittaa komentoja etänä ja ottaa laitteen hallintaansa.
Sisällysluettelo
Hyödyntämisen aikajana
Todisteet aktiivisesta hyväksikäytöstä ovat peräisin huhtikuusta 2023, jolloin tuntemattomat uhkatekijät käyttivät haavoittuvuutta ensimmäisen kerran Mirai- botnet-haittaohjelmien levittämiseen. Siitä lähtien sitä on hyödynnetty levittämään muita haittaohjelmakantoja, mukaan lukien Condi ja AndroxGh0st , mikä lisää entisestään sen kattavuutta ja vaikutusta.
Kuinka hyökkäys toimii
Hyökkäyssarja alkaa haittaohjelmien dropperilla - komentosarjalla nimeltä "dropbpb.sh", joka lataa ja suorittaa haitallisen binaarin kohdistetuissa reitittimissä. Haittaohjelma on suunniteltu toimimaan useissa järjestelmäarkkitehtuureissa, mukaan lukien MIPS, mipsel, armv5l, armv7l ja x86_64. Kun se on asennettu, se perustaa salatun Command-and-Control (C2) -kanavan porttiin 82, jolloin hyökkääjät voivat etäohjata tartunnan saaneen laitteen.
Ballista-botnetin ominaisuudet
Kun Ballista on järjestelmän sisällä, hyökkääjät voivat suorittaa useita komentoja, mukaan lukien:
- Flooder – Käynnistää tulvapohjaisen palvelunestohyökkäyksen (DoS).
- Exploiter – Hyödyntää CVE-2023-1389:ää tartuttaakseen lisää reitittimiä.
- Käynnistä – Käynnistää hyödyntäjämoduulin.
- Sulje – Pysäyttää hyväksikäyttömoduulin.
- Shell – Suorittaa Linuxin komentotulkkikomentoja tartunnan saaneessa järjestelmässä.
- Killall – Lopettaa käynnissä olevan haittaohjelmapalvelun.
Lisäksi haittaohjelma voi poistaa jälkiä omasta läsnäolostaan ja levitä itsenäisesti etsimällä ja hyödyntämällä haavoittuvia laitteita.
Italian yhteyden merkkejä
Ballistan infrastruktuurin analyysi paljastaa italialaisen yhteyden. Haittaohjelmabinaarit sisältävät italiankielisiä merkkijonoja, ja alkuperäinen C2-palvelin oli italialainen IP-osoite 2.237.57.70. Haittaohjelma näyttää kuitenkin olevan jatkuvan kehityksen alla, sillä uudemmat versiot käyttävät nyt TOR-verkkotunnuksia kovakoodattujen IP-osoitteiden sijaan.
Globaali vaikutus: Tuhansia reitittimiä vaarassa
Kohdennettu haku viittaa siihen, että Ballista on jo vaikuttanut yli 6 000 laitteeseen. Haavoittuvimpia alueita ovat Brasilia, Puola, Iso-Britannia, Bulgaria ja Turkki. Aktiivisen kehityksensä vuoksi tämä botnet on edelleen merkittävä uhka korjaamattomille reitittimille maailmanlaajuisesti.
