Uwolniony chaos: złośliwe oprogramowanie Condi przejmuje kontrolę nad routerami Wi-Fi TP-Link w celu niszczycielskich ataków botnetów DDoS

Nowo odkryte złośliwe oprogramowanie, Condi, okazało się poważnym zagrożeniem, wykorzystując lukę w zabezpieczeniach routerów Wi-Fi TP-Link Archer AX21 (AX1800). Jego głównym celem jest wykorzystanie tych zaatakowanych urządzeń i złożenie ich w potężny botnet typu Distributed Denial-of-Service (DDoS). Naukowcy zauważyli gwałtowny wzrost intensywności kampanii od zakończenia w maju 2023 r.

Kto stoi za Condim?

Twórcą Condi jest osoba znana pod pseudonimem internetowym zxcr9999 , która aktywnie promuje swoje nielegalne działania za pośrednictwem kanału Telegram Condi Network. Od maja 2022 roku cyberprzestępca zarabia na swoim botnecie, oferując DDoS-as-a-service, a nawet sprzedając kod źródłowy szkodliwego oprogramowania. Analitycy bezpieczeństwa dokładnie przeanalizowali złośliwe oprogramowanie, odkrywając jego zdolność do eliminowania konkurencyjnych botnetów na tym samym hoście. Jednak Condi nie ma mechanizmu trwałości, przez co nie jest w stanie przetrwać ponownego uruchomienia systemu.

Aby przezwyciężyć ograniczenie trwałości po ponownym uruchomieniu systemu, Condi podejmuje działania, usuwając wiele plików binarnych odpowiedzialnych za zamknięcie lub ponowne uruchomienie systemu. Te pliki binarne obejmują /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ zatrzymaj i /usr/bin/zatrzymaj. Warto zauważyć, że botnet Mirai wcześniej wykorzystywał tę lukę.

W przeciwieństwie do innych szeroko rozpowszechnionych złośliwych programów, Condi wykorzystuje moduł skanera do identyfikowania routerów TP-Link Archer AX21 podatnych na lukę CVE-2023-1389 (wynik CVSS: 8,8). Zamiast stosować ataki typu brute-force, takie jak niektóre botnety, Condi wykonuje skrypt powłoki uzyskany ze zdalnego serwera, aby zdeponować złośliwe oprogramowanie na zidentyfikowanych urządzeniach.

Według analityków bezpieczeństwa pojawiło się wiele instancji Condi, wykorzystujących do rozprzestrzeniania się różne znane luki w zabezpieczeniach. Oznacza to, że urządzenia z niezałatanym oprogramowaniem są szczególnie podatne na ataki tego botnetu. Oprócz agresywnej taktyki zarabiania, głównym celem Condi jest włamanie się do urządzeń i stworzenie potężnego botnetu DDoS. Ten botnet można następnie wynająć innym podmiotom zajmującym się zagrożeniami, umożliwiając im przeprowadzanie ataków typu flood za pomocą protokołu TCP i UDP na docelowe witryny i usługi.

Neutralizacja botnetów ma kluczowe znaczenie dla utrzymania bezpiecznego i stabilnego ekosystemu cyfrowego. Botnety, takie jak złośliwe oprogramowanie Condi, mogą wykorzystywać luki w niezałatanym oprogramowaniu i wykorzystywać sieć zainfekowanych urządzeń do szkodliwych działań, takich jak ataki DDoS. Ataki te zakłócają usługi online i poważnie zagrażają integralności i dostępności infrastruktury krytycznej. Osoby, organizacje i specjaliści ds. bezpieczeństwa muszą zachować czujność, aktualizować oprogramowanie i stosować solidne środki bezpieczeństwa w celu wykrywania i łagodzenia zagrożeń związanych z botnetami. Aktywnie neutralizując botnety, możemy chronić nasze środowiska cyfrowe i przyczyniać się do bezpieczniejszego środowiska online dla wszystkich użytkowników.