Caos desencadenat: el programari maliciós Condi pren el control dels encaminadors Wi-Fi TP-Link per a atacs devastadors de botnets DDoS
Un programari maliciós recentment descobert, Condi, ha sorgit com una amenaça important, aprofitant una vulnerabilitat de seguretat en els encaminadors Wi-Fi TP-Link Archer AX21 (AX1800). El seu objectiu principal és aprofitar aquests dispositius compromesos, reunint-los en una potent botnet de denegació de servei distribuïda (DDoS). Els investigadors han observat un fort augment de la intensitat de la campanya des de la finalització del maig de 2023.
Qui hi ha darrere de Condi?
El cervell darrere de Condi és un individu conegut pel sobrenom en línia zxcr9999 , que promou activament les seves activitats il·lícites a través del canal de Telegram Condi Network. A partir del maig de 2022, l'actor d'amenaces ha monetitzat la seva botnet oferint DDoS com a servei i fins i tot venent el codi font del programari maliciós. Els investigadors de seguretat han analitzat a fons el programari maliciós, descobrint la seva capacitat per eliminar botnets competidores al mateix host. Tanmateix, Condi no té un mecanisme de persistència, el que fa que no pugui sobreviure a un reinici del sistema.
Per superar la limitació de la persistència després d'un reinici del sistema, Condi pren mesures eliminant diversos binaris responsables d'apagar o reiniciar el sistema. Aquests binaris inclouen /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt i /usr/bin/halt. Val la pena assenyalar que la botnet Mirai va explotar prèviament la vulnerabilitat dirigida.
Contràriament a altres programes maliciosos generalitzats, Condi utilitza un mòdul d'escàner per identificar els encaminadors TP-Link Archer AX21 vulnerables a CVE-2023-1389 (puntuació CVSS: 8,8). En lloc d'utilitzar atacs de força bruta com algunes xarxes de bot, Condi executa un script de shell obtingut d'un servidor remot per dipositar el programari maliciós als dispositius identificats.
Segons els analistes de seguretat, han sorgit diverses instàncies de Condi, que utilitzen diverses vulnerabilitats de seguretat conegudes per propagar-se. Això indica que els dispositius que executen programari sense pegats són especialment susceptibles de ser objectiu d'aquest programari maliciós de botnet. A part de les seves agressives tàctiques de monetització, l'objectiu principal de Condi és comprometre els dispositius i establir una formidable botnet DDoS. Aquesta botnet es pot llogar a altres actors d'amenaça, cosa que els permet llançar atacs d'inundació TCP i UDP a llocs web i serveis dirigits.
La neutralització de les botnets és primordial per mantenir un ecosistema digital segur i estable. Les botnets, com ara el programari maliciós Condi, poden explotar vulnerabilitats del programari sense pegats i aprofitar una xarxa de dispositius compromesos per a activitats perjudicials, com ara atacs DDoS. Aquests atacs pertorben els serveis en línia i amenacen significativament la integritat i la disponibilitat de la infraestructura crítica. Les persones, les organitzacions i els professionals de la seguretat han de mantenir-se vigilants, mantenir el programari actualitzat i utilitzar mesures de seguretat sòlides per detectar i mitigar les amenaces de les botnets. En neutralitzar activament les botnets, podem salvaguardar els nostres entorns digitals i contribuir a un paisatge en línia més segur per a tots els usuaris.
