బల్లిస్టా బోట్నెట్

బల్లిస్టా అని పిలువబడే ఒక కొత్త బోట్‌నెట్ ప్రచారం గుర్తించబడింది, ఇది అన్‌ప్యాచ్డ్ TP-లింక్ ఆర్చర్ రౌటర్‌లను స్పష్టంగా లక్ష్యంగా చేసుకుంది. ఇంటర్నెట్ అంతటా ప్రచారం చేయడానికి బోట్‌నెట్ రిమోట్ కోడ్ ఎగ్జిక్యూషన్ (RCE) దుర్బలత్వాన్ని—CVE-2023-1389—సద్వినియోగం చేసుకుంటుందని సైబర్ భద్రతా పరిశోధకులు కనుగొన్నారు. ఈ అధిక-తీవ్రత లోపం TP-లింక్ ఆర్చర్ AX-21 రౌటర్‌లను ప్రభావితం చేస్తుంది, దాడి చేసేవారు రిమోట్‌గా ఆదేశాలను అమలు చేయడానికి మరియు పరికరాన్ని నియంత్రించడానికి అనుమతిస్తుంది.

దోపిడీ యొక్క కాలక్రమం

క్రియాశీల దోపిడీకి సంబంధించిన రుజువులు ఏప్రిల్ 2023 నాటివి, తెలియని బెదిరింపు నటులు మొదట మిరాయ్ బాట్‌నెట్ మాల్వేర్‌ను పంపిణీ చేయడానికి దుర్బలత్వాన్ని ఉపయోగించారు. అప్పటి నుండి, ఇది Condi మరియు AndroxGh0st వంటి ఇతర మాల్వేర్ జాతులను వ్యాప్తి చేయడానికి ఉపయోగించబడింది, దీని పరిధి మరియు ప్రభావాన్ని మరింత పెంచుతుంది.

దాడి ఎలా పనిచేస్తుంది

దాడి క్రమం మాల్వేర్ డ్రాపర్‌తో ప్రారంభమవుతుంది - 'dropbpb.sh' అనే షెల్ స్క్రిప్ట్ - ఇది లక్ష్యంగా ఉన్న రౌటర్‌లపై హానికరమైన బైనరీని డౌన్‌లోడ్ చేసి అమలు చేస్తుంది. ఈ మాల్వేర్ MIPS, mipsel, armv5l, armv7l మరియు x86_64తో సహా బహుళ సిస్టమ్ ఆర్కిటెక్చర్‌లపై అమలు చేయడానికి రూపొందించబడింది. ఇన్‌స్టాల్ చేసిన తర్వాత, ఇది పోర్ట్ 82లో ఎన్‌క్రిప్టెడ్ కమాండ్-అండ్-కంట్రోల్ (C2) ఛానెల్‌ను ఏర్పాటు చేస్తుంది, దాడి చేసేవారు సోకిన పరికరాన్ని రిమోట్‌గా నియంత్రించడానికి అనుమతిస్తుంది.

బల్లిస్టా బాట్నెట్ యొక్క సామర్థ్యాలు

ఒకసారి వ్యవస్థలోకి ప్రవేశించిన తర్వాత, బల్లిస్టా దాడి చేసేవారికి వివిధ రకాల ఆదేశాలను అమలు చేయడానికి వీలు కల్పిస్తుంది, వాటిలో:

• ఫ్లడర్ – వరద ఆధారిత సేవా నిరాకరణ (DoS) దాడిని ప్రారంభిస్తుంది.
• ఎక్స్‌ప్లోయిటర్ – అదనపు రౌటర్‌లను ఇన్ఫెక్ట్ చేయడానికి CVE-2023-1389ని దోపిడీ చేస్తుంది.
• స్టార్ట్ – ఎక్స్‌ప్లోయిటర్ మాడ్యూల్‌ను ప్రారంభిస్తుంది.
• మూసివేయి – దోపిడీ మాడ్యూల్‌ను ఆపివేస్తుంది.
• షెల్ – సోకిన సిస్టమ్‌పై Linux షెల్ ఆదేశాలను అమలు చేస్తుంది.
• కిల్లాల్ – నడుస్తున్న మాల్వేర్ సేవను రద్దు చేస్తుంది.

అదనంగా, మాల్వేర్ దాని స్వంత ఉనికి యొక్క జాడలను చెరిపివేయగలదు మరియు హానికరమైన పరికరాలను వెతకడం మరియు దోపిడీ చేయడం ద్వారా స్వయంప్రతిపత్తితో వ్యాప్తి చెందుతుంది.

ఇటాలియన్ కనెక్షన్ యొక్క సంకేతాలు

బల్లిస్టా మౌలిక సదుపాయాల విశ్లేషణ ఇటాలియన్ లింక్‌ను వెల్లడిస్తుంది. మాల్వేర్ బైనరీలు ఇటాలియన్ భాషా స్ట్రింగ్‌లను కలిగి ఉంటాయి మరియు ప్రారంభ C2 సర్వర్ ఇటాలియన్ IP చిరునామా అయిన 2.237.57.70 వద్ద హోస్ట్ చేయబడింది. అయితే, మాల్వేర్ నిరంతర అభివృద్ధిలో ఉన్నట్లు కనిపిస్తోంది, ఎందుకంటే కొత్త వెర్షన్‌లు ఇప్పుడు హార్డ్‌కోడ్ చేయబడిన IP చిరునామాలకు బదులుగా TOR నెట్‌వర్క్ డొమైన్‌లను ఉపయోగిస్తున్నాయి.

ప్రపంచ ప్రభావం: వేలాది రౌటర్లు ప్రమాదంలో ఉన్నాయి

లక్ష్యంగా చేసుకున్న శోధన ప్రకారం, బల్లిస్టా ద్వారా ఇప్పటికే 6,000 కంటే ఎక్కువ పరికరాలు ప్రభావితమయ్యాయని తెలుస్తోంది. అత్యంత హాని కలిగించే ప్రాంతాలలో బ్రెజిల్, పోలాండ్, యునైటెడ్ కింగ్‌డమ్, బల్గేరియా మరియు టర్కీ ఉన్నాయి. దాని క్రియాశీల పరిణామం కారణంగా, ఈ బోట్‌నెట్ ప్రపంచవ్యాప్తంగా అన్‌ప్యాచ్ చేయని రౌటర్‌లకు గణనీయమైన ముప్పుగా మిగిలిపోయింది.