ਬੈਲਿਸਟਾ ਬੋਟਨੈੱਟ

ਇੱਕ ਨਵੀਂ ਬੋਟਨੈੱਟ ਮੁਹਿੰਮ ਜਿਸਨੂੰ ਬੈਲਿਸਟਾ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਦੀ ਪਛਾਣ ਕੀਤੀ ਗਈ ਹੈ, ਜੋ ਸਪੱਸ਼ਟ ਤੌਰ 'ਤੇ ਬਿਨਾਂ ਪੈਚ ਕੀਤੇ TP-ਲਿੰਕ ਆਰਚਰ ਰਾਊਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੀ ਹੈ। ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਾਇਆ ਹੈ ਕਿ ਬੋਟਨੈੱਟ ਇੱਕ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ (RCE) ਕਮਜ਼ੋਰੀ—CVE-2023-1389—ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦਾ ਹੈ ਤਾਂ ਜੋ ਇੰਟਰਨੈੱਟ 'ਤੇ ਫੈਲ ਸਕੇ। ਇਹ ਉੱਚ-ਗੰਭੀਰਤਾ ਵਾਲੀ ਖਰਾਬੀ TP-ਲਿੰਕ ਆਰਚਰ AX-21 ਰਾਊਟਰਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਰਿਮੋਟ ਤੋਂ ਕਮਾਂਡਾਂ ਚਲਾਉਣ ਅਤੇ ਡਿਵਾਈਸ ਦਾ ਕੰਟਰੋਲ ਲੈਣ ਦੀ ਆਗਿਆ ਮਿਲਦੀ ਹੈ।

ਸ਼ੋਸ਼ਣ ਦੀ ਇੱਕ ਸਮਾਂਰੇਖਾ

ਸਰਗਰਮ ਸ਼ੋਸ਼ਣ ਦੇ ਸਬੂਤ ਅਪ੍ਰੈਲ 2023 ਤੋਂ ਹਨ, ਜਦੋਂ ਅਣਜਾਣ ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ ਪਹਿਲੀ ਵਾਰ ਮੀਰਾਈ ਬੋਟਨੈੱਟ ਮਾਲਵੇਅਰ ਨੂੰ ਵੰਡਣ ਲਈ ਕਮਜ਼ੋਰੀ ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਸੀ। ਉਦੋਂ ਤੋਂ, ਇਸਨੂੰ ਕੌਂਡੀ ਅਤੇ ਐਂਡਰੋਕਸਜੀਐਚ0 ਸਟ ਸਮੇਤ ਹੋਰ ਮਾਲਵੇਅਰ ਸਟ੍ਰੇਨ ਫੈਲਾਉਣ ਲਈ ਵਰਤਿਆ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਇਸਦੀ ਪਹੁੰਚ ਅਤੇ ਪ੍ਰਭਾਵ ਹੋਰ ਵਧਿਆ ਹੈ।

ਹਮਲਾ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ

ਹਮਲੇ ਦਾ ਕ੍ਰਮ ਇੱਕ ਮਾਲਵੇਅਰ ਡਰਾਪਰ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ—'dropbpb.sh' ਨਾਮ ਦੀ ਇੱਕ ਸ਼ੈੱਲ ਸਕ੍ਰਿਪਟ—ਜੋ ਟਾਰਗੇਟ ਕੀਤੇ ਰਾਊਟਰਾਂ 'ਤੇ ਇੱਕ ਖਤਰਨਾਕ ਬਾਈਨਰੀ ਨੂੰ ਡਾਊਨਲੋਡ ਅਤੇ ਚਲਾਉਂਦੀ ਹੈ। ਮਾਲਵੇਅਰ ਨੂੰ ਕਈ ਸਿਸਟਮ ਆਰਕੀਟੈਕਚਰ 'ਤੇ ਚਲਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਵਿੱਚ MIPS, mipsel, armv5l, armv7l ਅਤੇ x86_64 ਸ਼ਾਮਲ ਹਨ। ਇੱਕ ਵਾਰ ਇੰਸਟਾਲ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਪੋਰਟ 82 'ਤੇ ਇੱਕ ਇਨਕ੍ਰਿਪਟਡ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਚੈਨਲ ਸਥਾਪਤ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਨੂੰ ਰਿਮੋਟਲੀ ਕੰਟਰੋਲ ਕਰ ਸਕਦੇ ਹਨ।

ਬੈਲਿਸਟਾ ਬੋਟਨੈੱਟ ਦੀਆਂ ਸਮਰੱਥਾਵਾਂ

ਇੱਕ ਵਾਰ ਸਿਸਟਮ ਦੇ ਅੰਦਰ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਬੈਲਿਸਟਾ ਹਮਲਾਵਰਾਂ ਨੂੰ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਫਲਡਰ - ਹੜ੍ਹ-ਅਧਾਰਤ ਸੇਵਾ ਤੋਂ ਇਨਕਾਰ (DoS) ਹਮਲਾ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ।
• ਐਕਸਪਲੋਇਟਰ - ਵਾਧੂ ਰਾਊਟਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ CVE-2023-1389 ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ।
• ਸਟਾਰਟ - ਐਕਸਪਲੋਇਟਰ ਮੋਡੀਊਲ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ।
• ਬੰਦ ਕਰੋ - ਐਕਸਪਲੋਇਟ ਮੋਡੀਊਲ ਨੂੰ ਰੋਕਦਾ ਹੈ।
• ਸ਼ੈੱਲ - ਸੰਕਰਮਿਤ ਸਿਸਟਮ ਤੇ ਲੀਨਕਸ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ।
• ਕਿੱਲਾਲ - ਚੱਲ ਰਹੀ ਮਾਲਵੇਅਰ ਸੇਵਾ ਨੂੰ ਖਤਮ ਕਰਦਾ ਹੈ।

ਇਸ ਤੋਂ ਇਲਾਵਾ, ਮਾਲਵੇਅਰ ਆਪਣੀ ਮੌਜੂਦਗੀ ਦੇ ਨਿਸ਼ਾਨ ਮਿਟਾ ਸਕਦਾ ਹੈ ਅਤੇ ਕਮਜ਼ੋਰ ਡਿਵਾਈਸਾਂ ਦੀ ਭਾਲ ਕਰਕੇ ਅਤੇ ਉਹਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਖੁਦਮੁਖਤਿਆਰੀ ਨਾਲ ਫੈਲ ਸਕਦਾ ਹੈ।

ਇੱਕ ਇਤਾਲਵੀ ਕਨੈਕਸ਼ਨ ਦੇ ਸੰਕੇਤ

ਬੈਲਿਸਟਾ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੇ ਵਿਸ਼ਲੇਸ਼ਣ ਤੋਂ ਇੱਕ ਇਤਾਲਵੀ ਲਿੰਕ ਦਾ ਪਤਾ ਲੱਗਦਾ ਹੈ। ਮਾਲਵੇਅਰ ਬਾਈਨਰੀਆਂ ਵਿੱਚ ਇਤਾਲਵੀ ਭਾਸ਼ਾ ਦੀਆਂ ਤਾਰਾਂ ਹਨ, ਅਤੇ ਸ਼ੁਰੂਆਤੀ C2 ਸਰਵਰ 2.237.57.70 'ਤੇ ਹੋਸਟ ਕੀਤਾ ਗਿਆ ਸੀ, ਇੱਕ ਇਤਾਲਵੀ IP ਪਤਾ। ਹਾਲਾਂਕਿ, ਮਾਲਵੇਅਰ ਨਿਰੰਤਰ ਵਿਕਾਸ ਅਧੀਨ ਜਾਪਦਾ ਹੈ, ਕਿਉਂਕਿ ਨਵੇਂ ਸੰਸਕਰਣ ਹੁਣ ਹਾਰਡਕੋਡ ਕੀਤੇ IP ਪਤਿਆਂ ਦੀ ਬਜਾਏ TOR ਨੈੱਟਵਰਕ ਡੋਮੇਨਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।

ਗਲੋਬਲ ਪ੍ਰਭਾਵ: ਹਜ਼ਾਰਾਂ ਰਾਊਟਰ ਜੋਖਮ ਵਿੱਚ

ਇੱਕ ਨਿਸ਼ਾਨਾਬੱਧ ਖੋਜ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ 6,000 ਤੋਂ ਵੱਧ ਡਿਵਾਈਸਾਂ ਪਹਿਲਾਂ ਹੀ ਬੈਲਿਸਟਾ ਦੁਆਰਾ ਪ੍ਰਭਾਵਿਤ ਹੋ ਚੁੱਕੀਆਂ ਹਨ। ਸਭ ਤੋਂ ਕਮਜ਼ੋਰ ਖੇਤਰਾਂ ਵਿੱਚ ਬ੍ਰਾਜ਼ੀਲ, ਪੋਲੈਂਡ, ਯੂਨਾਈਟਿਡ ਕਿੰਗਡਮ, ਬੁਲਗਾਰੀਆ ਅਤੇ ਤੁਰਕੀ ਸ਼ਾਮਲ ਹਨ। ਇਸਦੇ ਸਰਗਰਮ ਵਿਕਾਸ ਨੂੰ ਦੇਖਦੇ ਹੋਏ, ਇਹ ਬੋਟਨੈੱਟ ਦੁਨੀਆ ਭਰ ਵਿੱਚ ਅਣਪੈਚ ਕੀਤੇ ਰਾਊਟਰਾਂ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਖ਼ਤਰਾ ਬਣਿਆ ਹੋਇਆ ਹੈ।