Išlaisvintas chaosas: „Condi“ kenkėjiška programa perima TP-Link „Wi-Fi“ maršrutizatorių valdymą, siekdama niokojančių DDoS „botnet“ atakų

Naujai aptikta kenkėjiška programa „Condi“ iškilo kaip rimta grėsmė, išnaudodama TP-Link Archer AX21 (AX1800) „Wi-Fi“ maršrutizatorių saugumo pažeidžiamumą. Pagrindinis jos tikslas yra panaudoti šiuos pažeistus įrenginius, sujungiant juos į galingą paskirstyto paslaugų atsisakymo (DDoS) robotų tinklą. Tyrėjai pastebėjo staigų kampanijos intensyvumo padidėjimą nuo 2023 m. gegužės mėn.

Kas stovi už Condi?

Condi sumanytojas yra asmuo, žinomas internetiniu pravardžiu zxcr9999 , kuris aktyviai reklamuoja savo neteisėtą veiklą per Telegram kanalą Condi Network. Nuo 2022 m. gegužės mėn. grėsmių veikėjas užsidirbo pinigų iš savo robotų tinklo, siūlydamas DDoS kaip paslaugą ir net pardavęs kenkėjiškos programos šaltinio kodą. Saugumo tyrinėtojai nuodugniai išanalizavo kenkėjišką programą, atskleidė jos gebėjimą pašalinti konkuruojančius robotų tinklus tame pačiame pagrindiniame kompiuteryje. Tačiau „Condi“ neturi patvarumo mechanizmo, todėl jis negali išgyventi sistemos perkrovimo.

Siekdama įveikti atkaklumo apribojimus po sistemos perkrovimo, „Condi“ imasi veiksmų ištrindama kelis dvejetainius failus, atsakingus už sistemos išjungimą arba paleidimą iš naujo. Šie dvejetainiai failai apima /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ sustabdyti ir /usr/bin/halt. Verta paminėti, kad Mirai botnetas anksčiau išnaudojo tikslinį pažeidžiamumą.

Priešingai nei kitos plačiai paplitusios kenkėjiškos programos, „Condi“ naudoja skaitytuvo modulį, kad nustatytų TP-Link Archer AX21 maršrutizatorius, pažeidžiamus CVE-2023-1389 (CVSS balas: 8,8). Užuot naudojęs žiaurios jėgos atakas, tokias kaip kai kurie robotų tinklai, „Condi“ vykdo apvalkalo scenarijų, gautą iš nuotolinio serverio, kad kenkėjiškos programos būtų patalpintos į nustatytus įrenginius.

Saugumo analitikų teigimu, atsirado keli „Condi“ atvejai, išnaudojantys įvairias žinomas saugumo spragas. Tai rodo, kad įrenginiai, kuriuose veikia nepataisyta programinė įranga, yra ypač jautrūs šios „botnet“ kenkėjiškos programos taikymui. Be agresyvios pajamų gavimo taktikos, pagrindinis „Condi“ tikslas yra sukompromituoti įrenginius ir sukurti didžiulį DDoS robotų tinklą. Tada šis botnetas gali būti išnuomotas kitiems grėsmės subjektams, kad jie galėtų pradėti TCP ir UDP potvynių atakas tikslinėse svetainėse ir paslaugose.

Norint išlaikyti saugią ir stabilią skaitmeninę ekosistemą, itin svarbu neutralizuoti botnetus. Botnetai, tokie kaip „Condi“ kenkėjiška programa, gali išnaudoti nepataisytos programinės įrangos pažeidžiamumą ir panaudoti pažeistų įrenginių tinklą žalingai veiklai, pvz., DDoS atakoms. Šios atakos sutrikdo internetines paslaugas ir kelia didelę grėsmę ypatingos svarbos infrastruktūros vientisumui ir prieinamumui. Asmenys, organizacijos ir saugos specialistai turi išlikti budrūs, nuolat atnaujinti programinę įrangą ir taikyti patikimas saugos priemones, kad aptiktų ir sumažintų botneto grėsmes. Aktyviai neutralizuodami botnetus galime apsaugoti savo skaitmeninę aplinką ir prisidėti prie saugesnės interneto aplinkos visiems vartotojams.