Ballista botnet
Egy új, Ballista névre keresztelt botnet kampányt azonosítottak, amely kifejezetten a javítatlan TP-Link Archer útválasztókat célozza meg. A kiberbiztonsági kutatók azt találták, hogy a botnet egy távoli kódvégrehajtás (RCE) sérülékenységét (CVE-2023-1389) használja az interneten való terjedéshez. Ez a súlyos hiba a TP-Link Archer AX-21 útválasztókat érinti, lehetővé téve a támadók számára, hogy távolról hajtsanak végre parancsokat, és átvegyék az eszköz irányítását.
Tartalomjegyzék
A kizsákmányolás idővonala
Az aktív kihasználás bizonyítéka 2023 áprilisáig nyúlik vissza, amikor is ismeretlen fenyegetés szereplői először használták fel a sebezhetőséget a Mirai botnet rosszindulatú programjainak terjesztésére. Azóta más rosszindulatú programok, köztük a Condi és az AndroxGh0st terjesztésére is felhasználták, tovább növelve annak elérhetőségét és hatását.
Hogyan működik a támadás
A támadási sorozat egy rosszindulatú program dropperrel kezdődik – egy „dropbpb.sh” nevű shell-szkripttel –, amely letölti és végrehajtja a rosszindulatú binárisokat a célzott útválasztókon. A kártevőt úgy tervezték, hogy több rendszerarchitektúrán fusson, beleértve a MIPS-t, a mipsel-t, az armv5l-t, az armv7l-t és az x86_64-et. A telepítés után egy titkosított Command-and-Control (C2) csatornát hoz létre a 82-es porton, amely lehetővé teszi a támadók számára a fertőzött eszköz távoli vezérlését.
A Ballista Botnet képességei
A rendszerbe kerülve a Ballista lehetővé teszi a támadók számára, hogy számos parancsot hajtsanak végre, többek között:
- Flooder – Árvíz-alapú szolgáltatásmegtagadási (DoS) támadást indít.
- Exploiter – A CVE-2023-1389 kódot kihasználja további útválasztók megfertőzésére.
- Start – Elindítja az exploiter modult.
- Bezárás – Leállítja a kihasználó modult.
- Shell – Linux shell parancsokat hajt végre a fertőzött rendszeren.
- Killall – Leállítja a futó malware szolgáltatást.
Ezenkívül a kártevő eltörölheti saját jelenlétének nyomait, és önállóan terjedhet a sebezhető eszközök felkutatásával és kihasználásával.
Az olasz kapcsolat jelei
A Ballista infrastruktúrájának elemzése feltár egy olasz kapcsolatot. A rosszindulatú programok binárisai olasz nyelvű karakterláncokat tartalmaznak, és a kezdeti C2 szervert a 2.237.57.70 olasz IP-címen tárolták. Úgy tűnik azonban, hogy a kártevő folyamatos fejlesztés alatt áll, mivel az újabb verziók már TOR hálózati tartományokat használnak a hardcoded IP-címek helyett.
Globális hatás: több ezer útválasztó veszélyben
A célzott keresés azt sugallja, hogy már több mint 6000 eszközt érintett a Ballista. A legsebezhetőbb régiók közé tartozik Brazília, Lengyelország, az Egyesült Királyság, Bulgária és Törökország. Tekintettel aktív fejlődésére, ez a botnet továbbra is jelentős veszélyt jelent a javítatlan útválasztókra világszerte.
