Elszabadult káosz: A Condi malware átveszi az irányítást a TP-Link Wi-Fi routerek felett pusztító DDoS botnet támadások miatt

Egy újonnan felfedezett rosszindulatú program, a Condi jelentős fenyegetésként jelent meg, ami a TP-Link Archer AX21 (AX1800) Wi-Fi routerek biztonsági rését használja ki. Elsődleges célja ezeknek a kompromittált eszközöknek a kihasználása, és egy erőteljes, elosztott szolgáltatásmegtagadási (DDoS) botnetté való összeállítása. A kutatók a kampány intenzitásának meredek növekedését figyelték meg 2023 májusa óta.

Ki áll Condi mögött?

A Condi mögött álló ötlet a zxcr9999 online becenévvel ismert személy, aki a Condi Network Telegram csatornán keresztül aktívan hirdeti tiltott tevékenységeit. 2022 májusától kezdődően a fenyegetettség szereplője DDoS-szolgáltatásként kínálta fel a botnetet, és még a rosszindulatú program forráskódját is eladta. A biztonsági kutatók alaposan elemezték a kártevőt, és felfedték, hogy képes megszüntetni a versengő botneteket ugyanazon a gazdagépen. A Condi azonban nem rendelkezik tartóssági mechanizmussal, így képtelen túlélni a rendszer újraindítását.

A rendszer újraindítása utáni fennmaradás korlátainak leküzdésére a Condi úgy lép fel, hogy több bináris fájlt töröl, amelyek felelősek a rendszer leállításáért vagy újraindításáért. Ezek a binárisok a következők: /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt és /usr/bin/halt. Érdemes megjegyezni, hogy a Mirai botnet korábban kihasználta a megcélzott biztonsági rést.

Más széles körben elterjedt rosszindulatú programokkal ellentétben a Condi egy szkenner modult használ a CVE-2023-1389 (CVSS pontszám: 8,8) sérülékeny TP-Link Archer AX21 útválasztók azonosítására. Ahelyett, hogy brute force támadásokat alkalmazna, mint például néhány botnet, a Condi egy távoli szerverről kapott shell szkriptet hajt végre, hogy elhelyezze a rosszindulatú programokat az azonosított eszközökön.

Biztonsági elemzők szerint a Condi több példánya is felmerült, amelyek különböző ismert biztonsági réseket használnak ki a terjedésre. Ez azt jelzi, hogy a javítatlan szoftvert futtató eszközök különösen ki vannak téve a botnet rosszindulatú programjának. Az agresszív bevételszerzési taktikán kívül a Condi elsődleges célja az eszközök kompromittálása és egy félelmetes DDoS botnet létrehozása. Ezt a botnetet azután bérbe lehet adni más fenyegetés szereplőinek, lehetővé téve számukra, hogy TCP- és UDP-özöntámadásokat indítsanak célzott webhelyek és szolgáltatások ellen.

A biztonságos és stabil digitális ökoszisztéma fenntartásához elengedhetetlen a botnetek semlegesítése. A botnetek, például a Condi rosszindulatú program, kihasználhatják a javítatlan szoftverek sebezhetőségeit, és kihasználhatják a feltört eszközök hálózatát káros tevékenységekre, például DDoS-támadásokra. Ezek a támadások megzavarják az online szolgáltatásokat, és jelentősen veszélyeztetik a kritikus infrastruktúra integritását és elérhetőségét. Az egyéneknek, a szervezeteknek és a biztonsági szakembereknek ébernek kell maradniuk, a szoftvereket naprakészen kell tartaniuk, és robusztus biztonsági intézkedéseket kell alkalmazniuk a botnet-fenyegetések észlelésére és mérséklésére. A botnetek aktív semlegesítésével megóvhatjuk digitális környezetünket, és hozzájárulhatunk egy biztonságosabb online környezet kialakításához minden felhasználó számára.