बलिस्टा बोटनेट
ब्यालिस्टा नामक नयाँ बोटनेट अभियान पहिचान गरिएको छ, जसले स्पष्ट रूपमा अनप्याच गरिएको TP-Link आर्चर राउटरहरूलाई लक्षित गर्दछ। साइबर सुरक्षा अनुसन्धानकर्ताहरूले पत्ता लगाएका छन् कि बोटनेटले इन्टरनेटभरि प्रचार गर्न रिमोट कोड एक्जिक्युसन (RCE) जोखिम - CVE-2023-1389 - को फाइदा उठाउँछ। यो उच्च-गम्भीरता त्रुटिले TP-Link आर्चर AX-21 राउटरहरूलाई असर गर्छ, जसले आक्रमणकारीहरूलाई टाढाबाट आदेशहरू कार्यान्वयन गर्न र उपकरणको नियन्त्रण लिन अनुमति दिन्छ।
सामग्रीको तालिका
शोषणको समयरेखा
सक्रिय शोषणको प्रमाण अप्रिल २०२३ मा फर्कन्छ, जब अज्ञात खतरा अभिनेताहरूले पहिलो पटक Mirai botnet मालवेयर वितरण गर्न जोखिम प्रयोग गरे। त्यसबेलादेखि, यसलाई Condi र AndroxGh0st सहित अन्य मालवेयर स्ट्रेनहरू फैलाउन प्रयोग गरिएको छ, जसले यसको पहुँच र प्रभावलाई अझ बढाउँछ।
आक्रमण कसरी काम गर्छ
आक्रमणको क्रम मालवेयर ड्रपरबाट सुरु हुन्छ—'dropbpb.sh' नामक शेल स्क्रिप्ट— जसले लक्षित राउटरहरूमा मालिसियस बाइनरी डाउनलोड र कार्यान्वयन गर्छ। मालवेयर MIPS, mipsel, armv5l, armv7l र x86_64 सहित धेरै प्रणाली आर्किटेक्चरहरूमा चलाउन डिजाइन गरिएको हो। एक पटक स्थापना भएपछि, यसले पोर्ट ८२ मा एक एन्क्रिप्टेड कमाण्ड-एन्ड-कन्ट्रोल (C2) च्यानल स्थापना गर्दछ, जसले आक्रमणकारीहरूलाई संक्रमित उपकरणलाई टाढाबाट नियन्त्रण गर्न अनुमति दिन्छ।
ब्यालिस्टा बोटनेटका क्षमताहरू
प्रणाली भित्र पसेपछि, ब्यालिस्टाले आक्रमणकारीहरूलाई विभिन्न आदेशहरू कार्यान्वयन गर्न सक्षम बनाउँछ, जसमा समावेश छन्:
- फ्लडर - बाढी-आधारित सेवा अस्वीकार (DoS) आक्रमण सुरु गर्दछ।
- एक्सप्लोइटर - थप राउटरहरूलाई संक्रमित गर्न CVE-2023-1389 को शोषण गर्दछ।
- सुरु - शोषक मोड्युल सुरु गर्दछ।
- बन्द गर्नुहोस् - शोषण मोड्युल रोक्छ।
- शेल - संक्रमित प्रणालीमा लिनक्स शेल आदेशहरू कार्यान्वयन गर्दछ।
- किल्लाल - चलिरहेको मालवेयर सेवा समाप्त गर्दछ।
थप रूपमा, मालवेयरले आफ्नो उपस्थितिको निशान मेटाउन सक्छ र कमजोर उपकरणहरू खोजेर र शोषण गरेर स्वायत्त रूपमा फैलिन सक्छ।
इटालियन सम्बन्धका संकेतहरू
ब्यालिस्टाको पूर्वाधारको विश्लेषणले इटालियन लिङ्क प्रकट गर्छ। मालवेयर बाइनरीहरूमा इटालियन भाषाका स्ट्रिङहरू छन्, र प्रारम्भिक C2 सर्भर २.२३७.५७.७० मा होस्ट गरिएको थियो, जुन इटालियन IP ठेगाना हो। यद्यपि, मालवेयर निरन्तर विकास अन्तर्गत रहेको देखिन्छ, किनकि नयाँ संस्करणहरूले अब हार्डकोड गरिएको IP ठेगानाहरूको सट्टा TOR नेटवर्क डोमेनहरू प्रयोग गर्छन्।
विश्वव्यापी प्रभाव: हजारौं राउटरहरू जोखिममा
लक्षित खोजले सुझाव दिन्छ कि ६,००० भन्दा बढी उपकरणहरू पहिले नै ब्यालिस्टाबाट प्रभावित भइसकेका छन्। सबैभन्दा कमजोर क्षेत्रहरूमा ब्राजिल, पोल्याण्ड, संयुक्त अधिराज्य, बुल्गेरिया र टर्की समावेश छन्। यसको सक्रिय विकासलाई ध्यानमा राख्दै, यो बोटनेट विश्वव्यापी रूपमा अनप्याच गरिएका राउटरहरूको लागि एक महत्त्वपूर्ण खतरा बनेको छ।
