Haos dezlănțuit: malware-ul Condi preia controlul asupra routerelor Wi-Fi TP-Link pentru atacuri devastatoare pentru botnet DDoS
Un malware recent descoperit, Condi, a apărut ca o amenințare semnificativă, valorificând o vulnerabilitate de securitate a routerelor Wi-Fi TP-Link Archer AX21 (AX1800). Obiectivul său principal este de a valorifica aceste dispozitive compromise, adunându-le într-o rețea puternică DDoS (Distributed Denial-of-Service). Cercetătorii au observat o creștere bruscă a intensității campaniei de la încheierea din mai 2023.
Cine se află în spatele Condi?
Creatorul din spatele Condi este o persoană cunoscută sub numele online zxcr9999 , care își promovează activ activitățile ilicite prin intermediul canalului Telegram Condi Network. Începând cu mai 2022, actorul amenințării și-a monetizat rețeaua botn oferind DDoS-as-a-service și chiar vânzând codul sursă al malware-ului. Cercetătorii de securitate au analizat amănunțit malware-ul, dezvăluind capacitatea acestuia de a elimina botnet-urile concurente pe aceeași gazdă. Cu toate acestea, Condi nu are un mecanism de persistență, făcându-l incapabil să supraviețuiască unei reporniri a sistemului.
Pentru a depăși limitarea persistenței după o repornire a sistemului, Condi ia măsuri prin ștergerea mai multor fișiere binare responsabile de închiderea sau repornirea sistemului. Aceste binare includ /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ stop și /usr/bin/halt. Este de remarcat faptul că botnet-ul Mirai a exploatat anterior vulnerabilitatea vizată.
Spre deosebire de alte programe malware răspândite, Condi utilizează un modul de scanare pentru a identifica routerele TP-Link Archer AX21 vulnerabile la CVE-2023-1389 (scor CVSS: 8,8). În loc să folosească atacuri de forță brută, cum ar fi unele rețele bot, Condi execută un script shell obținut de la un server la distanță pentru a depozita malware-ul pe dispozitivele identificate.
Potrivit analiștilor de securitate, au apărut mai multe instanțe de Condi, exploatând diverse vulnerabilități de securitate cunoscute pentru a se propaga. Acest lucru indică faptul că dispozitivele care rulează software nepatchat sunt deosebit de susceptibile de a fi vizate de acest malware botnet. Pe lângă tacticile sale agresive de monetizare, obiectivul principal al Condi este să compromită dispozitivele și să stabilească o rețea botnet DDoS formidabilă. Această rețea botnet poate fi apoi închiriată altor actori de amenințări, permițându-le să lanseze atacuri de inundații TCP și UDP asupra site-urilor și serviciilor vizate.
Neutralizarea botnet-urilor este esențială în menținerea unui ecosistem digital sigur și stabil. Rețelele bot, cum ar fi malware-ul Condi, pot exploata vulnerabilitățile din software-ul nepatchat și pot folosi o rețea de dispozitive compromise pentru activități dăunătoare, cum ar fi atacurile DDoS. Aceste atacuri perturbă serviciile online și amenință în mod semnificativ integritatea și disponibilitatea infrastructurii critice. Indivizii, organizațiile și profesioniștii în securitate trebuie să rămână vigilenți, să mențină software-ul la zi și să utilizeze măsuri de securitate solide pentru a detecta și atenua amenințările rețelelor botnet. Prin neutralizarea activă a rețelelor botne, ne putem proteja mediile digitale și putem contribui la un peisaj online mai sigur pentru toți utilizatorii.
