באליסטה בוטנט
זוהה מסע פרסום בוטנט חדש בשם Ballista, המכוון במפורש לנתבי TP-Link Archer ללא תיקון. חוקרי אבטחת סייבר גילו שהבוטנט מנצל פגיעות של ביצוע קוד מרחוק (RCE) - CVE-2023-1389 - כדי להפיץ ברחבי האינטרנט. פגם זה בחומרה גבוה משפיע על נתבי TP-Link Archer AX-21, ומאפשר לתוקפים לבצע פקודות מרחוק ולהשתלט על המכשיר.
תוכן העניינים
ציר זמן של ניצול
עדויות לניצול פעיל החלו באפריל 2023, כאשר גורמי איומים לא ידועים השתמשו לראשונה בפגיעות כדי להפיץ תוכנות זדוניות של Mirai botnet. מאז, הוא נוצל להפצת זני תוכנות זדוניות אחרות, כולל Condi ו- AndroxGh0st , מה שמגדיל עוד יותר את טווח ההגעה וההשפעה שלה.
כיצד פועלת המתקפה
רצף התקיפה מתחיל עם זריקת תוכנה זדונית - סקריפט מעטפת בשם 'dropbpb.sh' - אשר מוריד ומבצע קובץ בינארי זדוני בנתבים ממוקדים. התוכנה הזדונית נועדה לפעול על ארכיטקטורות מערכת מרובות, כולל MIPS, mipsel, armv5l, armv7l ו-x86_64. לאחר ההתקנה, הוא מקים ערוץ Command-and-Control (C2) מוצפן ביציאה 82, המאפשר לתוקפים לשלוט מרחוק במכשיר הנגוע.
היכולות של Ballista Botnet
ברגע שנכנס למערכת, Ballista מאפשר לתוקפים לבצע מגוון פקודות, כולל:
- Flooder – משיק מתקפת מניעת שירות (DoS) מבוססת הצפה.
- Exploiter - מנצל את CVE-2023-1389 כדי להדביק נתבים נוספים.
- התחל - מפעיל את מודול המנצל.
- סגור - מפסיק את מודול הניצול.
- מעטפת - מבצע פקודות מעטפת לינוקס במערכת הנגועה.
- Killall - מפסיק את שירות התוכנה הזדונית הפועל.
בנוסף, התוכנה הזדונית יכולה למחוק עקבות של הנוכחות שלה ולהתפשט באופן אוטונומי על ידי חיפוש וניצול מכשירים פגיעים.
סימנים של קשר איטלקי
ניתוח של התשתית של באליסטה מגלה קישור איטלקי. הקבצים הבינאריים של תוכנות זדוניות מכילות מחרוזות בשפה האיטלקית, ושרת ה-C2 הראשוני התארח ב-2.237.57.70, כתובת IP איטלקית. עם זאת, נראה שהתוכנה הזדונית נמצאת בפיתוח מתמשך, שכן גרסאות חדשות יותר משתמשות כעת בדומיינים של רשת TOR במקום בכתובות IP מקודדות.
השפעה גלובלית: אלפי נתבים בסיכון
חיפוש ממוקד מצביע על כך שלמעלה מ-6,000 מכשירים כבר הושפעו מ-Ballista. האזורים הפגיעים ביותר כוללים את ברזיל, פולין, בריטניה, בולגריה וטורקיה. בהתחשב באבולוציה הפעילה שלו, הבוטנט הזה נותר איום משמעותי על נתבים לא מתוקנים ברחבי העולם.
