RondoDox Botnet
Fushatat e programeve keqdashëse që shfrytëzojnë botnetin RondoDox e kanë zgjeruar në mënyrë dramatike sipërfaqen e tyre të sulmit, duke synuar tani mbi 50 dobësi në më shumë se 30 shitës. Ekspertët e sigurisë e përshkruajnë këtë qasje si një 'shooting shfrytëzues', duke reflektuar shënjestrimin pa dallim të një game të gjerë të infrastrukturës së ekspozuar ndaj internetit. Sistemet e prekura përfshijnë routerë, regjistrues video dixhitalë (DVR), regjistrues video rrjeti (NVR), sisteme CCTV, serverë web dhe shumë pajisje të tjera të lidhura me rrjetin.
Tabela e Përmbajtjes
Ndërhyrjet e Hershme dhe Konteksti Historik
Aktiviteti i parë i dukshëm i RondoDox u vu re në korrik 2025, kur studiuesit dokumentuan sulme ndaj DVR-ve TBK dhe routerëve Four-Faith. Këto pajisje po rekrutoheshin në një botnet të projektuar për të kryer sulme të shpërndara të mohimit të shërbimit (DDoS) në protokollet HTTP, UDP dhe TCP.
Një përpjekje specifike ndërhyrjeje u zbulua më 15 qershor 2025, duke synuar routerat TP-Link Archer nëpërmjet CVE-2023-1389, një defekt i shfrytëzuar vazhdimisht që nga zbulimi i tij në fund të vitit 2022. Këto incidente nxjerrin në pah evolucionin e vazhdueshëm të RondoDox nga sulme oportuniste me një pajisje të vetme në fushata më të gjera dhe më të koordinuara.
Shpërndarje e Zgjeruar përmes Loader-as-a-Service
Kohët e fundit, RondoDox ka adoptuar një model ngarkues-si-shërbim (LaaS), duke e paketuar ngarkesën e tij së bashku me malware-in Mirai dhe Morte. Kjo taktikë u lejon sulmuesve të shpërndajnë kërcënime të shumta njëkohësisht, duke ndërlikuar përpjekjet e zbulimit dhe ndreqjes.
Karakteristikat kryesore të kësaj fushate të zgjeruar përfshijnë:
- Përdorimi i kredencialeve të dobëta, të dhënave të papastërtuara dhe CVE-ve të trashëguara për të kompromentuar pajisjet
- Synimi i routerëve SOHO, pajisjeve IoT dhe aplikacioneve të ndërmarrjeve
- Shfrytëzimi shumëvektorial, duke sinjalizuar një ndryshim nga oportunizmi i një pajisjeje të vetme në vendosjen e koordinuar të botnet-it
Arsenali i Shfrytëzimit të Gjerë
RondoDox tani përdor gati 56 dobësi, 18 prej të cilave mbeten pa identifikues CVE. Sistemet e shfrytëzuara përfshijnë një gamë të gjerë shitësish, duke përfshirë:
D-Link, TVT, LILIN, Fiberhome, Linksys, BYTEVALUE, ASMAX, Brickcom, IQrouter, Ricon, Nexxt, NETGEAR, Apache, TBK, TOTOLINK, Meteobridge, Digiever, Edimax, QNAP, GNU, Dasan, Tenda, LB-LINK, AVTECH, Zyxel, Hytec Inter, Belkin, Billion dhe Cisco.
Ky arsenal në rritje tregon sofistikimin në rritje të botnet-it dhe aftësinë e tij për të shfrytëzuar dobësitë e njohura mirë dhe ato të padokumentuara më parë.
Implikimet për sigurinë kibernetike
Fushatat më të fundit RondoDox përfaqësojnë një evolucion të rëndësishëm në shfrytëzimin e automatizuar të rrjetit. Duke kombinuar operacionet e ngarkuesit si shërbim me një grup të zgjeruar shfrytëzimesh, sulmuesit po kalojnë përtej sulmeve oportuniste në pajisje të vetme drejt operacioneve strategjike botnet shumëvektorëshe.
Ekipet e sigurisë duhet të mbeten vigjilente, duke i dhënë përparësi korrigjimit të dobësive të njohura, duke monitoruar aktivitetin e dyshimtë të rrjetit dhe duke vendosur mjete proaktive zbulimi për të zbutur rrezikun që paraqesin këto kërcënime që evoluojnë me shpejtësi.
