Udløst kaos: Condi-malwaren tager kontrol over TP-Link Wi-Fi-routere til ødelæggende DDoS Botnet-angreb

En nyligt opdaget malware, Condi, er dukket op som en betydelig trussel, der udnytter en sikkerhedssårbarhed i TP-Link Archer AX21 (AX1800) Wi-Fi-routere. Dens primære mål er at udnytte disse kompromitterede enheder og samle dem til et kraftfuldt DDoS-botnet (Distributed Denial-of-Service). Forskere har bemærket en kraftig stigning i kampagnens intensitet siden afslutningen i maj 2023.

Hvem står bag Condi?

Hovedmanden bag Condi er en person kendt af online-monikeren zxcr9999 , som aktivt promoverer sine ulovlige aktiviteter gennem Telegram-kanalen Condi Network. Fra maj 2022 har trusselsaktøren tjent penge på sit botnet ved at tilbyde DDoS-as-a-service og endda sælge malwarens kildekode. Sikkerhedsforskere har grundigt analyseret malwaren og afsløret dens evne til at eliminere konkurrerende botnets på den samme vært. Condi mangler dog en persistensmekanisme, hvilket gør den ude af stand til at overleve en systemgenstart.

For at overvinde begrænsningen af vedholdenhed efter en systemgenstart, tager Condi handling ved at slette flere binære filer, der er ansvarlige for at lukke ned eller genstarte systemet. Disse binære filer inkluderer /usr/sbin/genstart, /usr/bin/genstart, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt og /usr/bin/halt. Det er værd at bemærke, at Mirai-botnettet tidligere udnyttede den målrettede sårbarhed.

I modsætning til anden udbredt malware bruger Condi et scannermodul til at identificere TP-Link Archer AX21-routere, der er sårbare over for CVE-2023-1389 (CVSS-score: 8,8). I stedet for at bruge brute-force-angreb som nogle botnets, udfører Condi et shell-script hentet fra en ekstern server for at deponere malwaren på de identificerede enheder.

Ifølge sikkerhedsanalytikere er der opstået flere tilfælde af Condi, der udnytter forskellige kendte sikkerhedssårbarheder til at sprede sig. Det indikerer, at enheder, der kører ikke-patchet software, er særligt modtagelige for at blive målrettet af denne botnet-malware. Bortset fra dens aggressive indtægtsgenereringstaktik er Condis primære mål at kompromittere enheder og etablere et formidabelt DDoS-botnet. Dette botnet kan derefter lejes ud til andre trusselsaktører, hvilket gør dem i stand til at iværksætte TCP- og UDP-oversvømmelsesangreb på målrettede websteder og tjenester.

Neutralisering af botnets er altafgørende for at opretholde et sikkert og stabilt digitalt økosystem. Botnets, såsom Condi malware, kan udnytte sårbarheder i upatchet software og udnytte et netværk af kompromitterede enheder til skadelige aktiviteter, såsom DDoS-angreb. Disse angreb forstyrrer onlinetjenester og truer væsentligt integriteten og tilgængeligheden af kritisk infrastruktur. Enkeltpersoner, organisationer og sikkerhedsprofessionelle skal forblive på vagt, holde software opdateret og anvende robuste sikkerhedsforanstaltninger til at opdage og afbøde botnet-trusler. Ved aktivt at neutralisere botnets kan vi beskytte vores digitale miljøer og bidrage til et mere sikkert onlinelandskab for alle brugere.