Atbrīvots haoss: Condi ļaunprogrammatūra pārņem kontroli pār TP-Link Wi-Fi maršrutētājiem postošiem DDoS robottīklu uzbrukumiem

Jaunatklātā ļaunprogrammatūra Condi ir parādījusies kā nozīmīgs drauds, izmantojot TP-Link Archer AX21 (AX1800) Wi-Fi maršrutētāju drošības ievainojamību. Tās galvenais mērķis ir izmantot šīs apdraudētās ierīces, apvienojot tās jaudīgā DDoS (Distributed Denial-of-Service) robottīklā. Pētnieki ir novērojuši strauju kampaņas intensitātes pieaugumu kopš 2023. gada maija noslēguma.

Kas stāv aiz Kondi?

Kondi vadītājs ir persona, kas pazīstama ar tiešsaistes nosaukumu zxcr9999 , kura aktīvi reklamē savas nelikumīgās darbības, izmantojot Telegram kanālu Condi Network. Sākot ar 2022. gada maiju, draudu aktieris ir guvis peļņu no sava robottīkla, piedāvājot DDoS kā pakalpojumu un pat pārdodot ļaunprātīgas programmatūras pirmkodu. Drošības pētnieki ir rūpīgi izanalizējuši ļaunprātīgo programmatūru, atklājot tās spēju likvidēt konkurējošus robottīklus tajā pašā resursdatorā. Tomēr Condi trūkst noturības mehānisma, tāpēc tas nespēj izturēt sistēmas atsāknēšanu.

Lai pārvarētu noturības ierobežojumus pēc sistēmas atsāknēšanas, Condi rīkojas, dzēšot vairākus bināros failus, kas ir atbildīgi par sistēmas izslēgšanu vai atsāknēšanu. Šie binārie faili ietver /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt un /usr/bin/halt. Ir vērts atzīmēt, ka Mirai robottīkls iepriekš izmantoja mērķa ievainojamību.

Pretēji citai plaši izplatītai ļaunprogrammatūrai Condi izmanto skenera moduli, lai identificētu TP-Link Archer AX21 maršrutētājus, kas ir neaizsargāti pret CVE-2023-1389 (CVSS rādītājs: 8,8). Tā vietā, lai izmantotu brutālu spēku uzbrukumus, piemēram, dažus robottīklus, Condi izpilda čaulas skriptu, kas iegūts no attālā servera, lai deponētu ļaunprātīgo programmatūru identificētajās ierīcēs.

Pēc drošības analītiķu domām, ir parādījušies vairāki Condi gadījumi, izmantojot dažādas zināmas drošības ievainojamības, lai izplatītos. Tas norāda, ka šīs robottīkla ļaunprogrammatūras mērķauditorija ir īpaši jutīgas pret ierīcēm, kurās darbojas neielāpota programmatūra. Papildus agresīvajai monetizācijas taktikai Condi galvenais mērķis ir kompromitēt ierīces un izveidot milzīgu DDoS robottīklu. Pēc tam šo robottīklu var iznomāt citiem apdraudējuma dalībniekiem, ļaujot tiem uzsākt TCP un UDP plūdu uzbrukumus mērķa vietnēm un pakalpojumiem.

Drošas un stabilas digitālās ekosistēmas uzturēšanā vissvarīgākā ir robottīklu neitralizācija. Bottīkli, piemēram, ļaunprogrammatūra Condi, var izmantot neievainojamību nelabotajā programmatūrā un izmantot apdraudētu ierīču tīklu kaitīgām darbībām, piemēram, DDoS uzbrukumiem. Šie uzbrukumi izjauc tiešsaistes pakalpojumus un būtiski apdraud kritiskās infrastruktūras integritāti un pieejamību. Personām, organizācijām un drošības speciālistiem ir jāsaglabā modrība, jāatjaunina programmatūra un jāizmanto spēcīgi drošības pasākumi, lai atklātu un mazinātu robottīklu draudus. Aktīvi neitralizējot robottīklus, mēs varam aizsargāt savu digitālo vidi un veicināt drošāku tiešsaistes ainavu visiem lietotājiem.