บอตเน็ตบัลลิสต้า
นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแคมเปญบ็อตเน็ตใหม่ที่มีชื่อว่า Ballista ซึ่งมีเป้าหมายโจมตีเราเตอร์ TP-Link Archer ที่ไม่ได้รับการแก้ไขโดยเฉพาะ นักวิจัยด้านความปลอดภัยทางไซเบอร์พบว่าบ็อตเน็ตดังกล่าวใช้ประโยชน์จากช่องโหว่ Remote Code Execution (RCE) ซึ่งก็คือ CVE-2023-1389 เพื่อแพร่กระจายไปทั่วอินเทอร์เน็ต ช่องโหว่ที่มีความรุนแรงสูงนี้ส่งผลกระทบต่อเราเตอร์ TP-Link Archer AX-21 ทำให้ผู้โจมตีสามารถรันคำสั่งจากระยะไกลและเข้าควบคุมอุปกรณ์ได้
สารบัญ
ไทม์ไลน์ของการแสวงประโยชน์
หลักฐานการใช้ประโยชน์ที่เกิดขึ้นจริงย้อนกลับไปถึงเดือนเมษายน 2023 เมื่อผู้ก่อภัยคุกคามที่ไม่รู้จักใช้ช่องโหว่นี้เป็นครั้งแรกเพื่อแพร่กระจายมัลแวร์บอตเน็ต Mirai ตั้งแต่นั้นมา ช่องโหว่นี้ถูกนำมาใช้เพื่อแพร่กระจายมัลแวร์สายพันธุ์อื่นๆ รวมถึง Condi และ AndroxGh0st ทำให้ขยายขอบเขตและผลกระทบได้มากขึ้น
การโจมตีทำงานอย่างไร
ลำดับการโจมตีเริ่มต้นด้วยดรอปเปอร์มัลแวร์ ซึ่งเป็นสคริปต์เชลล์ชื่อ 'dropbpb.sh' ซึ่งจะดาวน์โหลดและเรียกใช้ไบนารีที่เป็นอันตรายบนเราเตอร์เป้าหมาย มัลแวร์ได้รับการออกแบบมาให้ทำงานบนสถาปัตยกรรมระบบหลายระบบ รวมถึง MIPS, mipsel, armv5l, armv7l และ x86_64 เมื่อติดตั้งแล้ว มัลแวร์จะสร้างช่องสัญญาณ Command-and-Control (C2) ที่เข้ารหัสบนพอร์ต 82 ซึ่งทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ที่ติดเชื้อจากระยะไกลได้
ความสามารถของ Ballista Botnet
เมื่อเข้าไปในระบบแล้ว Ballista จะทำให้ผู้โจมตีสามารถดำเนินการคำสั่งต่างๆ ได้มากมาย เช่น:
- Flooder – เปิดตัวโจมตีแบบปฏิเสธการให้บริการ (DoS) ที่ใช้ Flood
- Exploiter – ใช้ประโยชน์จาก CVE-2023-1389 เพื่อแพร่ระบาดไปยังเราเตอร์เพิ่มเติม
- เริ่มต้น – เริ่มต้นโมดูลผู้แสวงหาประโยชน์
- ปิด – หยุดโมดูลการโจมตี
- เชลล์ – ดำเนินการคำสั่งเชลล์ Linux บนระบบที่ติดไวรัส
- Killall – ยุติการบริการมัลแวร์ที่กำลังทำงาน
นอกจากนี้ มัลแวร์ยังสามารถลบร่องรอยการมีอยู่ของตัวเอง และแพร่กระจายโดยอัตโนมัติด้วยการค้นหาและแสวงหาประโยชน์จากอุปกรณ์ที่มีช่องโหว่
สัญญาณของความเชื่อมโยงกับอิตาลี
การวิเคราะห์โครงสร้างพื้นฐานของ Ballista เผยให้เห็นถึงลิงก์ภาษาอิตาลี ไฟล์ไบนารีของมัลแวร์ประกอบด้วยสตริงภาษาอิตาลี และเซิร์ฟเวอร์ C2 ขั้นต้นโฮสต์อยู่ที่ 2.237.57.70 ซึ่งเป็นที่อยู่ IP ของอิตาลี อย่างไรก็ตาม มัลแวร์ดูเหมือนจะอยู่ระหว่างการพัฒนาอย่างต่อเนื่อง เนื่องจากเวอร์ชันใหม่กว่าใช้โดเมนเครือข่าย TOR แทนที่จะเป็นที่อยู่ IP แบบฮาร์ดโค้ด
ผลกระทบระดับโลก: เราเตอร์นับพันเครื่องตกอยู่ในความเสี่ยง
การค้นหาแบบเจาะจงแสดงให้เห็นว่ามีอุปกรณ์มากกว่า 6,000 เครื่องที่ได้รับผลกระทบจาก Ballista แล้ว ภูมิภาคที่เสี่ยงที่สุด ได้แก่ บราซิล โปแลนด์ สหราชอาณาจักร บัลแกเรีย และตุรกี เมื่อพิจารณาจากวิวัฒนาการที่เกิดขึ้นอย่างต่อเนื่อง บอตเน็ตนี้ยังคงเป็นภัยคุกคามที่สำคัญต่อเราเตอร์ที่ไม่ได้รับการแก้ไขทั่วโลก
