Oslobođeni kaos: Zlonamjerni softver Condi preuzima kontrolu nad TP-Link Wi-Fi usmjerivačima za razorne DDoS botnetove napade

Novootkriveni malware, Condi, pojavio se kao značajna prijetnja, koristeći sigurnosnu ranjivost u TP-Link Archer AX21 (AX1800) Wi-Fi usmjerivačima. Njegov primarni cilj je iskoristiti te kompromitirane uređaje, sastavljajući ih u moćan Distributed Denial-of-Service (DDoS) botnet. Istraživači su primijetili nagli porast intenziteta kampanje od kraja svibnja 2023.

Tko stoji iza Condija?

Mozak koji stoji iza Condija je osoba poznata pod nadimkom zxcr9999 , koja aktivno promovira svoje nedopuštene aktivnosti putem Telegram kanala Condi Network. Počevši od svibnja 2022., prijetnja je unovčila svoj botnet nudeći DDoS-kao-uslugu, pa čak i prodajući izvorni kod zlonamjernog softvera. Sigurnosni istraživači temeljito su analizirali zlonamjerni softver, otkrivajući njegovu sposobnost da eliminira konkurentske botnete na istom hostu. Međutim, Condi nema mehanizam postojanosti, što ga čini nesposobnim preživjeti ponovno pokretanje sustava.

Kako bi prevladao ograničenje postojanosti nakon ponovnog pokretanja sustava, Condi poduzima akciju brisanjem više binarnih datoteka odgovornih za gašenje ili ponovno pokretanje sustava. Ove binarne datoteke uključuju /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt i /usr/bin/halt. Vrijedno je napomenuti da je Mirai botnet prethodno iskorištavao ciljanu ranjivost.

Za razliku od drugog raširenog zlonamjernog softvera, Condi koristi modul skenera za prepoznavanje TP-Link Archer AX21 usmjerivača ranjivih na CVE-2023-1389 (CVSS ocjena: 8,8). Umjesto korištenja brutalnih napada poput nekih botneta, Condi izvršava skriptu ljuske dobivenu s udaljenog poslužitelja za pohranjivanje zlonamjernog softvera na identificirane uređaje.

Prema sigurnosnim analitičarima, pojavilo se više instanci Condija, iskorištavajući razne poznate sigurnosne propuste za širenje. To znači da su uređaji koji pokreću nezakrpani softver posebno osjetljivi na ciljanje ovog zlonamjernog softvera botneta. Osim agresivne taktike monetizacije, Condijev primarni cilj je kompromitirati uređaje i uspostaviti moćan DDoS botnet. Ovaj se botnet zatim može iznajmiti drugim akterima prijetnji, omogućujući im pokretanje TCP i UDP flood napada na ciljane web stranice i usluge.

Neutralizacija botneta ključna je za održavanje sigurnog i stabilnog digitalnog ekosustava. Botneti, kao što je zlonamjerni softver Condi, mogu iskoristiti ranjivosti u nezakrpanom softveru i iskoristiti mrežu kompromitiranih uređaja za štetne aktivnosti, kao što su DDoS napadi. Ovi napadi ometaju mrežne usluge i značajno ugrožavaju integritet i dostupnost kritične infrastrukture. Pojedinci, organizacije i sigurnosni stručnjaci moraju ostati na oprezu, održavati softver ažurnim i primijeniti snažne sigurnosne mjere za otkrivanje i ublažavanje prijetnji botneta. Aktivnom neutralizacijom botneta možemo zaštititi naša digitalna okruženja i pridonijeti sigurnijem mrežnom krajoliku za sve korisnike.