बैलिस्टा बॉटनेट

बैलिस्टा नामक एक नए बॉटनेट अभियान की पहचान की गई है, जो स्पष्ट रूप से बिना पैच वाले टीपी-लिंक आर्चर राउटर को लक्षित करता है। साइबर सुरक्षा शोधकर्ताओं ने पाया है कि बॉटनेट इंटरनेट पर फैलने के लिए रिमोट कोड निष्पादन (RCE) भेद्यता-CVE-2023-1389- का लाभ उठाता है। यह उच्च-गंभीर दोष टीपी-लिंक आर्चर AX-21 राउटर को प्रभावित करता है, जिससे हमलावर दूर से कमांड निष्पादित कर सकते हैं और डिवाइस को नियंत्रित कर सकते हैं।

शोषण की समयरेखा

सक्रिय शोषण के साक्ष्य अप्रैल 2023 से मिलते हैं, जब अज्ञात खतरे वाले अभिनेताओं ने पहली बार मिराई बॉटनेट मैलवेयर वितरित करने के लिए भेद्यता का उपयोग किया था। तब से, इसका उपयोग कॉन्डी और एंड्रॉक्सघोस्ट सहित अन्य मैलवेयर उपभेदों को फैलाने के लिए किया गया है, जिससे इसकी पहुंच और प्रभाव और बढ़ गया है।

हमला कैसे काम करता है?

हमले का क्रम एक मैलवेयर ड्रॉपर से शुरू होता है - 'ड्रॉपबीपीबी.श' नामक एक शेल स्क्रिप्ट - जो लक्षित राउटर पर दुर्भावनापूर्ण बाइनरी डाउनलोड और निष्पादित करती है। मैलवेयर को MIPS, mipsel, armv5l, armv7l और x86_64 सहित कई सिस्टम आर्किटेक्चर पर चलने के लिए डिज़ाइन किया गया है। एक बार इंस्टॉल होने के बाद, यह पोर्ट 82 पर एक एन्क्रिप्टेड कमांड-एंड-कंट्रोल (C2) चैनल स्थापित करता है, जिससे हमलावर संक्रमित डिवाइस को दूर से नियंत्रित कर सकते हैं।

बैलिस्टा बॉटनेट की क्षमताएं

एक बार सिस्टम के अंदर जाने पर, बैलिस्टा हमलावरों को कई प्रकार के आदेशों को निष्पादित करने में सक्षम बनाता है, जिनमें शामिल हैं:

• फ्लडर - फ्लड-आधारित सेवा अस्वीकार (DoS) हमला शुरू करता है।
• शोषक - अतिरिक्त राउटरों को संक्रमित करने के लिए CVE-2023-1389 का शोषण करता है।
• प्रारंभ - शोषक मॉड्यूल आरंभ करता है।
• बंद करें - शोषण मॉड्यूल को रोकता है।
• शेल - संक्रमित सिस्टम पर लिनक्स शेल कमांड निष्पादित करता है।
• किलऑल - चल रही मैलवेयर सेवा को समाप्त करता है।

इसके अतिरिक्त, मैलवेयर अपनी उपस्थिति के निशानों को मिटा सकता है तथा कमजोर डिवाइसों की तलाश करके उनका शोषण करके स्वायत्त रूप से फैल सकता है।

इटालियन संबंध के संकेत

बैलिस्टा के बुनियादी ढांचे के विश्लेषण से इतालवी लिंक का पता चलता है। मैलवेयर बाइनरी में इतालवी भाषा के स्ट्रिंग्स होते हैं, और प्रारंभिक C2 सर्वर 2.237.57.70 पर होस्ट किया गया था, जो एक इतालवी IP पता है। हालाँकि, मैलवेयर निरंतर विकास के अधीन प्रतीत होता है, क्योंकि नए संस्करण अब हार्डकोडेड IP पतों के बजाय TOR नेटवर्क डोमेन का उपयोग करते हैं।

वैश्विक प्रभाव: हज़ारों राउटर जोखिम में

लक्षित खोज से पता चलता है कि 6,000 से ज़्यादा डिवाइस पहले ही बैलिस्टा से प्रभावित हो चुके हैं। सबसे ज़्यादा असुरक्षित क्षेत्रों में ब्राज़ील, पोलैंड, यूनाइटेड किंगडम, बुल्गारिया और तुर्की शामिल हैं। इसके सक्रिय विकास को देखते हुए, यह बॉटनेट दुनिया भर में अनपैच किए गए राउटर के लिए एक बड़ा ख़तरा बना हुआ है।