Botnet Ballisty
Zidentyfikowano nową kampanię botnetu nazwaną Ballista, która wyraźnie atakuje niezałatane routery TP-Link Archer. Badacze ds. cyberbezpieczeństwa odkryli, że botnet wykorzystuje lukę w zabezpieczeniach umożliwiającą zdalne wykonanie kodu (RCE) — CVE-2023-1389 — do rozprzestrzeniania się w Internecie. Ta poważna wada dotyczy routerów TP-Link Archer AX-21, umożliwiając atakującym zdalne wykonywanie poleceń i przejmowanie kontroli nad urządzeniem.
Spis treści
Oś czasu eksploatacji
Dowody aktywnej eksploatacji sięgają kwietnia 2023 r., kiedy nieznani sprawcy zagrożeń po raz pierwszy wykorzystali lukę w zabezpieczeniach do dystrybucji złośliwego oprogramowania botnet Mirai . Od tego czasu luka ta była wykorzystywana do rozprzestrzeniania innych odmian złośliwego oprogramowania, w tym Condi i AndroxGh0st , co jeszcze bardziej zwiększyło jej zasięg i wpływ.
Jak działa atak
Sekwencja ataku zaczyna się od droppera malware — skryptu powłoki o nazwie „dropbpb.sh” — który pobiera i uruchamia złośliwy plik binarny na docelowych routerach. Malware jest zaprojektowany do działania na wielu architekturach systemowych, w tym MIPS, mipsel, armv5l, armv7l i x86_64. Po zainstalowaniu ustanawia zaszyfrowany kanał Command-and-Control (C2) na porcie 82, umożliwiając atakującym zdalne sterowanie zainfekowanym urządzeniem.
Możliwości botnetu Ballista
Po przedostaniu się do systemu Ballista umożliwia atakującym wykonanie szeregu poleceń, w tym:
- Flooder – uruchamia atak typu DoS (odmowa usługi) oparty na powodzi.
- Exploiter – wykorzystuje lukę CVE-2023-1389 do infekowania dodatkowych routerów.
- Start – uruchamia moduł eksploitera.
- Zamknij – zatrzymuje moduł exploita.
- Shell – wykonuje polecenia powłoki Linuxa w zainfekowanym systemie.
- Killall – Zamyka działającą usługę antywirusową.
Ponadto złośliwe oprogramowanie potrafi zacierać ślady swojej obecności i rozprzestrzeniać się autonomicznie, wyszukując i wykorzystując luki w zabezpieczeniach urządzeń.
Znaki włoskiego związku
Analiza infrastruktury Ballisty ujawnia włoskie powiązanie. Binaria złośliwego oprogramowania zawierają włoskie ciągi językowe, a początkowy serwer C2 był hostowany pod adresem 2.237.57.70, włoskim adresem IP. Jednak złośliwe oprogramowanie wydaje się być w ciągłym rozwoju, ponieważ nowsze wersje używają domen sieciowych TOR zamiast zakodowanych na stałe adresów IP.
Globalny wpływ: tysiące routerów w niebezpieczeństwie
Przeszukanie ukierunkowane sugeruje, że ponad 6000 urządzeń zostało już dotkniętych przez Ballistę. Najbardziej narażone regiony to Brazylia, Polska, Wielka Brytania, Bułgaria i Turcja. Biorąc pod uwagę jego aktywną ewolucję, ten botnet pozostaje poważnym zagrożeniem dla niezałatanych routerów na całym świecie.
