Ballista robottīkls
Ir identificēta jauna robottīklu kampaņa, kuras nosaukums ir Ballista, un tā ir tieši vērsta uz nepārlādētiem TP-Link Archer maršrutētājiem. Kiberdrošības pētnieki ir atklājuši, ka robottīkls izmanto attālās koda izpildes (RCE) ievainojamības CVE-2023-1389 priekšrocības, lai izplatītos internetā. Šī ļoti nopietnā kļūda ietekmē TP-Link Archer AX-21 maršrutētājus, ļaujot uzbrucējiem attālināti izpildīt komandas un pārņemt kontroli pār ierīci.
Satura rādītājs
Ekspluatācijas laika skala
Pierādījumi par aktīvu izmantošanu ir datēti ar 2023. gada aprīli, kad nezināmi draudu dalībnieki pirmo reizi izmantoja ievainojamību, lai izplatītu Mirai robottīkla ļaunprātīgu programmatūru. Kopš tā laika tas ir izmantots, lai izplatītu citus ļaunprātīgas programmatūras veidus, tostarp Condi un AndroxGh0st , vēl vairāk palielinot tā sasniedzamību un ietekmi.
Kā darbojas uzbrukums
Uzbrukuma secība sākas ar ļaunprātīgas programmatūras pilinātāju — čaulas skriptu ar nosaukumu "dropbpb.sh", kas lejupielādē un izpilda ļaunprātīgu bināro failu mērķa maršrutētājos. Ļaunprātīga programmatūra ir izstrādāta, lai darbotos vairākās sistēmu arhitektūrās, tostarp MIPS, mipsel, armv5l, armv7l un x86_64. Pēc instalēšanas tas izveido šifrētu Command-and-Control (C2) kanālu 82. portā, ļaujot uzbrucējiem attālināti kontrolēt inficēto ierīci.
Ballista robottīkla iespējas
Kad Ballista atrodas sistēmā, uzbrucēji var izpildīt vairākas komandas, tostarp:
- Flooder — palaiž uz plūdiem balstītu pakalpojumu atteikuma (DoS) uzbrukumu.
- Ekspluatētājs — izmanto CVE-2023-1389, lai inficētu papildu maršrutētājus.
- Sākt — iniciē izmantotāja moduli.
- Aizvērt — aptur izmantošanas moduli.
- Apvalks — inficētajā sistēmā izpilda Linux apvalka komandas.
- Killall — pārtrauc darboties ļaunprātīgas programmatūras pakalpojumu.
Turklāt ļaunprogrammatūra var izdzēst savas klātbūtnes pēdas un patstāvīgi izplatīties, meklējot un izmantojot neaizsargātas ierīces.
Itālijas savienojuma pazīmes
Balllistas infrastruktūras analīze atklāj Itālijas saikni. Ļaunprātīgas programmatūras binārie faili satur itāļu valodas virknes, un sākotnējais C2 serveris tika mitināts itāļu IP adresē 2.237.57.70. Tomēr šķiet, ka ļaunprogrammatūra tiek nepārtraukti izstrādāta, jo jaunākās versijās tagad tiek izmantoti TOR tīkla domēni, nevis kodētas IP adreses.
Globālā ietekme: apdraudēti tūkstošiem maršrutētāju
Mērķtiecīga meklēšana liecina, ka Ballista jau ir skārusi vairāk nekā 6000 ierīču. Visneaizsargātākie reģioni ir Brazīlija, Polija, Apvienotā Karaliste, Bulgārija un Turcija. Ņemot vērā tā aktīvo attīstību, šis robottīkls joprojām ir nozīmīgs drauds nelabotiem maršrutētājiem visā pasaulē.
