Sự hỗn loạn được giải phóng: Phần mềm độc hại Condi chiếm quyền kiểm soát bộ định tuyến Wi-Fi TP-Link để tàn phá các cuộc tấn công botnet DDoS
Một phần mềm độc hại mới được phát hiện, Condi, đã nổi lên như một mối đe dọa đáng kể, tận dụng lỗ hổng bảo mật trong bộ định tuyến Wi-Fi TP-Link Archer AX21 (AX1800). Mục tiêu chính của nó là khai thác các thiết bị bị xâm nhập này, lắp ráp chúng thành một mạng botnet từ chối dịch vụ phân tán (DDoS) mạnh mẽ. Các nhà nghiên cứu đã ghi nhận sự gia tăng mạnh về cường độ của chiến dịch kể từ khi kết thúc vào tháng 5 năm 2023.
Ai đứng sau Condi?
Kẻ chủ mưu đằng sau Condi là một cá nhân được biết đến với biệt danh trực tuyến zxcr9999 , người tích cực thúc đẩy các hoạt động bất hợp pháp của mình thông qua kênh Telegram Condi Network. Bắt đầu từ tháng 5 năm 2022, kẻ đe dọa đã kiếm tiền từ mạng botnet của mình bằng cách cung cấp dịch vụ DDoS dưới dạng dịch vụ và thậm chí bán mã nguồn của phần mềm độc hại. Các nhà nghiên cứu bảo mật đã phân tích kỹ lưỡng phần mềm độc hại này, phát hiện ra khả năng loại bỏ các botnet cạnh tranh trên cùng một máy chủ. Tuy nhiên, Condi thiếu một cơ chế bền bỉ, khiến nó không thể tồn tại khi khởi động lại hệ thống.
Để khắc phục hạn chế về tính bền bỉ sau khi khởi động lại hệ thống, Condi thực hiện hành động bằng cách xóa nhiều tệp nhị phân chịu trách nhiệm tắt hoặc khởi động lại hệ thống. Các nhị phân này bao gồm /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ tạm dừng và /usr/bin/tạm dừng. Điều đáng chú ý là botnet Mirai trước đó đã khai thác lỗ hổng được nhắm mục tiêu.
Trái ngược với phần mềm độc hại phổ biến khác, Condi sử dụng mô-đun máy quét để xác định các bộ định tuyến TP-Link Archer AX21 dễ bị tấn công bởi CVE-2023-1389 (điểm CVSS: 8,8). Thay vì sử dụng các cuộc tấn công vũ phu như một số botnet, Condi thực thi một tập lệnh shell thu được từ một máy chủ từ xa để gửi phần mềm độc hại trên các thiết bị đã xác định.
Theo các nhà phân tích bảo mật, nhiều phiên bản của Condi đã xuất hiện, khai thác nhiều lỗ hổng bảo mật đã biết để phát tán. Điều đó chỉ ra rằng các thiết bị chạy phần mềm chưa được vá đặc biệt dễ bị phần mềm độc hại botnet này nhắm mục tiêu. Bên cạnh các chiến thuật kiếm tiền tích cực, mục tiêu chính của Condi là xâm phạm các thiết bị và thiết lập một mạng botnet DDoS ghê gớm. Mạng botnet này sau đó có thể được cho các tác nhân đe dọa khác thuê, cho phép chúng khởi chạy các cuộc tấn công tràn ngập TCP và UDP vào các trang web và dịch vụ được nhắm mục tiêu.
Vô hiệu hóa các botnet là điều tối quan trọng trong việc duy trì một hệ sinh thái kỹ thuật số an toàn và ổn định. Botnet, chẳng hạn như phần mềm độc hại Condi, có thể khai thác các lỗ hổng trong phần mềm chưa được vá và khai thác mạng các thiết bị bị xâm nhập cho các hoạt động có hại, chẳng hạn như tấn công DDoS. Các cuộc tấn công này làm gián đoạn các dịch vụ trực tuyến và đe dọa đáng kể đến tính toàn vẹn và tính sẵn có của cơ sở hạ tầng quan trọng. Các cá nhân, tổ chức và chuyên gia bảo mật phải duy trì cảnh giác, luôn cập nhật phần mềm và sử dụng các biện pháp bảo mật mạnh mẽ để phát hiện và giảm thiểu các mối đe dọa từ mạng botnet. Bằng cách tích cực vô hiệu hóa các botnet, chúng tôi có thể bảo vệ môi trường kỹ thuật số của mình và góp phần tạo nên một môi trường trực tuyến an toàn hơn cho tất cả người dùng.
