فوضى مطلقة: برنامج Condi Malware يتحكم في موجهات TP-Link Wi-Fi لتدمير هجمات DDoS Botnet

برز برنامج ضار تم اكتشافه حديثًا ، Condi ، كتهديد كبير ، حيث استفاد من ثغرة أمنية في أجهزة توجيه Wi-Fi TP-Link Archer AX21 (AX1800). هدفها الأساسي هو تسخير هذه الأجهزة المخترقة ، وتجميعها في شبكة روبوتية قوية لرفض الخدمة الموزعة (DDoS). لاحظ الباحثون ارتفاعًا حادًا في كثافة الحملة منذ نهاية مايو 2023.

من وراء كوندي؟

العقل المدبر وراء كوندي هو شخص معروف بلقب الإنترنت zxcr9999 ، والذي يروج بنشاط لأنشطته غير المشروعة من خلال قناة كوندي على قناة Telegram. اعتبارًا من مايو 2022 ، قام ممثل التهديد باستثمار الروبوتات الخاصة به من خلال تقديم DDoS كخدمة وحتى بيع رمز مصدر البرنامج الضار. قام باحثو الأمن بتحليل البرامج الضارة بدقة ، وكشفوا عن قدرتها على القضاء على شبكات الروبوت المنافسة على نفس المضيف. ومع ذلك ، تفتقر Condi إلى آلية الثبات ، مما يجعلها غير قادرة على البقاء على قيد الحياة عند إعادة تشغيل النظام.

للتغلب على قيود الاستمرارية بعد إعادة تشغيل النظام ، تتخذ Condi إجراءات بحذف ثنائيات متعددة مسؤولة عن إيقاف تشغيل النظام أو إعادة تشغيله. تتضمن هذه الثنائيات / usr / sbin / reboot ، / usr / bin / reboot ، / usr / sbin / shutdown ، / usr / bin / shutdown ، / usr / sbin / poweroff ، / usr / bin / poweroff ، / usr / sbin / وقف و / البيرة / بن / توقف. تجدر الإشارة إلى أن روبوت ميراي استغل في السابق الثغرة الأمنية المستهدفة.

على عكس البرامج الضارة الأخرى واسعة الانتشار ، تستخدم Condi وحدة ماسح ضوئي لتحديد أجهزة توجيه TP-Link Archer AX21 المعرضة لخطر CVE-2023-1389 (درجة CVSS: 8.8). بدلاً من استخدام هجمات القوة الغاشمة مثل بعض شبكات الروبوت ، تنفذ Condi نصًا برمجيًا تم الحصول عليه من خادم بعيد لإيداع البرامج الضارة على الأجهزة المحددة.

وفقًا لمحللي الأمن ، ظهرت عدة حالات من Condi ، مستغلة العديد من نقاط الضعف الأمنية المعروفة للنشر. يشير ذلك إلى أن الأجهزة التي تعمل ببرامج غير مصححة معرضة بشكل خاص للاستهداف بواسطة برنامج الروبوتات الضار هذا. بصرف النظر عن تكتيكاتها العدوانية لتحقيق الدخل ، فإن هدف Condi الأساسي هو اختراق الأجهزة وإنشاء شبكة DDoS هائلة. يمكن بعد ذلك تأجير هذه الروبوتات لممثلي التهديد الآخرين ، مما يمكنهم من إطلاق هجمات TCP و UDP على مواقع الويب والخدمات المستهدفة.

يعد تحييد شبكات الروبوت أمرًا بالغ الأهمية في الحفاظ على نظام بيئي رقمي آمن ومستقر. يمكن أن تستغل شبكات البوت نت ، مثل برامج Condi الضارة ، نقاط الضعف في البرامج غير المصححة وتسخير شبكة من الأجهزة المخترقة للأنشطة الضارة ، مثل هجمات DDoS. تعطل هذه الهجمات الخدمات عبر الإنترنت وتهدد بشكل كبير سلامة وتوافر البنية التحتية الحيوية. يجب على الأفراد والمؤسسات والمتخصصين في مجال الأمن أن يظلوا يقظين ، وأن يحافظوا على تحديث البرامج ، وأن يستخدموا تدابير أمنية قوية لاكتشاف تهديدات الروبوتات والتخفيف من حدتها. من خلال تحييد شبكات الروبوتات بشكل فعال ، يمكننا حماية بيئاتنا الرقمية والمساهمة في مشهد أكثر أمانًا على الإنترنت لجميع المستخدمين.