Отприщен хаос: Зловреден софтуер Condi поема контрола над Wi-Fi рутерите на TP-Link за опустошителни DDoS ботнет атаки

Новооткрит зловреден софтуер, Condi, се очертава като значителна заплаха, използвайки уязвимост на сигурността в Wi-Fi рутерите TP-Link Archer AX21 (AX1800). Основната му цел е да овладее тези компрометирани устройства, като ги сглоби в мощен ботнет за разпределен отказ от обслужване (DDoS). Изследователите отбелязват рязко покачване на интензивността на кампанията от края на май 2023 г.

Кой стои зад Конди?

Мозъкът зад Condi е лице, известно с онлайн псевдонима zxcr9999 , който активно популяризира незаконните си дейности чрез канала на Telegram Condi Network. В началото на май 2022 г. заплахата монетизира своя ботнет, като предлага DDoS като услуга и дори продава изходния код на зловреден софтуер. Изследователите по сигурността са анализирали задълбочено злонамерения софтуер, разкривайки способността му да елиминира конкурентни ботнети на същия хост. Condi обаче няма механизъм за устойчивост, което го прави неспособен да оцелее след рестартиране на системата.

За да преодолее ограничението на постоянството след рестартиране на системата, Condi предприема действия, като изтрива множество двоични файлове, отговорни за изключването или рестартирането на системата. Тези двоични файлове включват /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ спиране и /usr/bin/halt. Струва си да се отбележи, че ботнетът Mirai преди това е използвал целевата уязвимост.

Противно на друг широко разпространен зловреден софтуер, Condi използва модул за сканиране, за да идентифицира рутери TP-Link Archer AX21, уязвими към CVE-2023-1389 (CVSS резултат: 8,8). Вместо да използва атаки с груба сила като някои ботнети, Condi изпълнява шел скрипт, получен от отдалечен сървър, за да депозира зловреден софтуер на идентифицираните устройства.

Според анализатори по сигурността са се появили множество екземпляри на Condi, използващи различни известни уязвимости в сигурността за разпространение. Това показва, че устройствата, работещи със софтуер без корекции, са особено податливи на насочване към този зловреден софтуер на ботнет. Освен агресивната си тактика за монетизиране, основната цел на Condi е да компрометира устройства и да създаде страхотен DDoS ботнет. Този ботнет може след това да бъде отдаден под наем на други участници в заплахи, което им позволява да стартират TCP и UDP flood атаки на целеви уебсайтове и услуги.

Неутрализирането на ботнет мрежи е от първостепенно значение за поддържането на сигурна и стабилна цифрова екосистема. Ботнет мрежите, като злонамерения софтуер Condi, могат да използват уязвимостите в необработения софтуер и да използват мрежа от компрометирани устройства за вредни дейности, като DDoS атаки. Тези атаки прекъсват онлайн услугите и значително застрашават целостта и наличността на критична инфраструктура. Индивидите, организациите и специалистите по сигурността трябва да останат бдителни, да поддържат софтуера актуален и да използват стабилни мерки за сигурност за откриване и смекчаване на заплахите от ботнет. Чрез активно неутрализиране на ботнет мрежи можем да защитим нашите цифрови среди и да допринесем за по-безопасна онлайн среда за всички потребители.