Unleashed Chaos: Condi Malware přebírá kontrolu nad Wi-Fi routery TP-Link pro ničivé útoky na DDoS botnety

Nově objevený malware, Condi, se ukázal jako významná hrozba, která využívá bezpečnostní zranitelnost v Wi-Fi routerech TP-Link Archer AX21 (AX1800). Jeho primárním cílem je využít tato kompromitovaná zařízení a sestavit je do výkonného botnetu DDoS (Distributed Denial-of-Service). Výzkumníci zaznamenali prudký nárůst intenzity kampaně od konce května 2023.

Kdo stojí za Condi?

Hlavním mozkem Condi je osoba známá pod online přezdívkou zxcr9999 , která aktivně propaguje své nezákonné aktivity prostřednictvím telegramového kanálu Condi Network. Počínaje květnem 2022 hrozba zpeněžila svůj botnet tím, že nabízí DDoS jako službu a dokonce prodává zdrojový kód malwaru. Bezpečnostní výzkumníci důkladně analyzovali malware a odhalili jeho schopnost eliminovat konkurenční botnety na stejném hostiteli. Condi však postrádá mechanismus perzistence, takže není schopen přežít restart systému.

K překonání omezení perzistence po restartu systému podnikne Condi akci odstraněním několika binárních souborů odpovědných za vypnutí nebo restart systému. Tyto binární soubory zahrnují /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt a /usr/bin/halt. Stojí za zmínku, že botnet Mirai dříve využíval cílenou zranitelnost.

Na rozdíl od jiného rozšířeného malwaru používá Condi modul skeneru k identifikaci routerů TP-Link Archer AX21 zranitelných vůči CVE-2023-1389 (CVSS skóre: 8,8). Namísto použití útoků hrubou silou, jako jsou některé botnety, Condi spustí skript shellu získaný ze vzdáleného serveru k uložení malwaru na identifikovaná zařízení.

Podle bezpečnostních analytiků se objevilo několik instancí Condi, které k šíření využívají různé známé bezpečnostní zranitelnosti. To znamená, že zařízení s neopraveným softwarem jsou zvláště náchylná k tomu, aby byla zacílena tímto malwarem botnetu. Kromě agresivní monetizační taktiky je hlavním cílem Condi kompromitovat zařízení a vytvořit impozantní DDoS botnet. Tento botnet lze poté pronajmout dalším aktérům hrozeb, což jim umožní spouštět záplavové útoky TCP a UDP na cílené webové stránky a služby.

Neutralizace botnetů je zásadní pro udržení bezpečného a stabilního digitálního ekosystému. Botnety, jako je malware Condi, mohou zneužít zranitelnosti v neopraveném softwaru a využít síť kompromitovaných zařízení pro škodlivé aktivity, jako jsou útoky DDoS. Tyto útoky narušují online služby a významně ohrožují integritu a dostupnost kritické infrastruktury. Jednotlivci, organizace a bezpečnostní profesionálové musí zůstat ostražití, udržovat software aktuální a používat robustní bezpečnostní opatření k detekci a zmírnění hrozeb botnetů. Aktivní neutralizací botnetů můžeme chránit naše digitální prostředí a přispět k bezpečnějšímu online prostředí pro všechny uživatele.