Caos scatenato: il malware Condi prende il controllo dei router Wi-Fi TP-Link per devastanti attacchi di botnet DDoS

Un malware scoperto di recente, Condi, è emerso come una minaccia significativa, sfruttando una vulnerabilità di sicurezza nei router Wi-Fi TP-Link Archer AX21 (AX1800). Il suo obiettivo principale è sfruttare questi dispositivi compromessi, assemblandoli in una potente botnet DDoS (Distributed Denial-of-Service). I ricercatori hanno notato un forte aumento dell'intensità della campagna dalla conclusione di maggio 2023.

Chi c'è dietro Condi?

La mente dietro Condi è un individuo conosciuto con il soprannome online zxcr9999 , che promuove attivamente le sue attività illecite attraverso il canale Telegram Condi Network. A partire da maggio 2022, l'autore della minaccia ha monetizzato la sua botnet offrendo DDoS-as-a-service e persino vendendo il codice sorgente del malware. I ricercatori di sicurezza hanno analizzato a fondo il malware, scoprendo la sua capacità di eliminare le botnet concorrenti sullo stesso host. Tuttavia, Condi non dispone di un meccanismo di persistenza, che lo rende incapace di sopravvivere a un riavvio del sistema.

Per superare la limitazione della persistenza dopo un riavvio del sistema, Condi interviene eliminando più binari responsabili dell'arresto o del riavvio del sistema. Questi binari includono /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt e /usr/bin/halt. Vale la pena notare che la botnet Mirai ha precedentemente sfruttato la vulnerabilità mirata.

Contrariamente ad altri malware diffusi, Condi utilizza un modulo scanner per identificare i router TP-Link Archer AX21 vulnerabili a CVE-2023-1389 (punteggio CVSS: 8.8). Invece di impiegare attacchi di forza bruta come alcune botnet, Condi esegue uno script di shell ottenuto da un server remoto per depositare il malware sui dispositivi identificati.

Secondo gli analisti della sicurezza, sono emerse più istanze di Condi, sfruttando varie vulnerabilità di sicurezza note per propagarsi. Ciò indica che i dispositivi che eseguono software senza patch sono particolarmente suscettibili di essere presi di mira da questo malware botnet. A parte le sue aggressive tattiche di monetizzazione, l'obiettivo principale di Condi è quello di compromettere i dispositivi e creare una formidabile botnet DDoS. Questa botnet può quindi essere affittata ad altri autori di minacce, consentendo loro di lanciare attacchi flood TCP e UDP su siti Web e servizi mirati.

La neutralizzazione delle botnet è fondamentale per mantenere un ecosistema digitale sicuro e stabile. Le botnet, come il malware Condi, possono sfruttare le vulnerabilità nel software senza patch e sfruttare una rete di dispositivi compromessi per attività dannose, come gli attacchi DDoS. Questi attacchi interrompono i servizi online e minacciano in modo significativo l'integrità e la disponibilità dell'infrastruttura critica. Individui, organizzazioni e professionisti della sicurezza devono rimanere vigili, mantenere aggiornato il software e adottare solide misure di sicurezza per rilevare e mitigare le minacce botnet. Neutralizzando attivamente le botnet, possiamo salvaguardare i nostri ambienti digitali e contribuire a un panorama online più sicuro per tutti gli utenti.