Развязанный хаос: вредоносное ПО Condi берет под контроль Wi-Fi-маршрутизаторы TP-Link для разрушительных DDoS-атак ботнетов

Недавно обнаруженное вредоносное ПО Condi оказалось серьезной угрозой, использующей уязвимость в системе безопасности Wi-Fi-маршрутизаторов TP-Link Archer AX21 (AX1800). Его основная цель — использовать эти скомпрометированные устройства, собрав их в мощную ботнет распределенного отказа в обслуживании (DDoS). Исследователи отмечают резкий рост интенсивности кампании с момента ее завершения в мае 2023 года.

Кто стоит за Конди?

Вдохновителем Condi является человек, известный под псевдонимом zxcr9999 , который активно продвигает свою незаконную деятельность через Telegram-канал Condi Network. Начиная с мая 2022 года злоумышленник монетизировал свой ботнет, предлагая DDoS-услуги и даже продавая исходный код вредоносного ПО. Исследователи безопасности тщательно проанализировали вредоносное ПО и обнаружили его способность устранять конкурирующие ботнеты на одном хосте. Однако в Condi отсутствует механизм сохранения, из-за чего он не может пережить перезагрузку системы.

Чтобы преодолеть ограничение сохраняемости после перезагрузки системы, Condi удаляет несколько двоичных файлов, отвечающих за выключение или перезагрузку системы. Эти двоичные файлы включают /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ остановка и /usr/bin/halt. Стоит отметить, что ботнет Mirai ранее использовал целевую уязвимость.

В отличие от других широко распространенных вредоносных программ, Condi использует модуль сканера для выявления уязвимых к CVE-2023-1389 маршрутизаторов TP-Link Archer AX21 (оценка CVSS: 8,8). Вместо того, чтобы использовать атаки грубой силы, как в некоторых ботнетах, Condi выполняет сценарий оболочки, полученный с удаленного сервера, для размещения вредоносного ПО на идентифицированных устройствах.

По словам аналитиков безопасности, появилось несколько экземпляров Condi, использующих для распространения различные известные уязвимости в системе безопасности. Это указывает на то, что устройства, на которых запущено неисправленное программное обеспечение, особенно уязвимы для этой вредоносной программы ботнета. Помимо агрессивной тактики монетизации, основной целью Condi является компрометация устройств и создание мощной бот-сети DDoS. Затем этот ботнет можно сдавать в аренду другим злоумышленникам, что позволяет им запускать TCP- и UDP-флуд-атаки на целевые веб-сайты и службы.

Нейтрализация ботнетов имеет первостепенное значение для поддержания безопасной и стабильной цифровой экосистемы. Ботнеты, такие как вредоносное ПО Condi, могут использовать уязвимости в неисправленном программном обеспечении и использовать сеть скомпрометированных устройств для вредоносных действий, таких как DDoS-атаки. Эти атаки нарушают работу онлайн-сервисов и серьезно угрожают целостности и доступности критической инфраструктуры. Отдельные лица, организации и специалисты по безопасности должны сохранять бдительность, обновлять программное обеспечение и применять надежные меры безопасности для обнаружения и смягчения угроз бот-сетей. Активно нейтрализуя ботнеты, мы можем защитить нашу цифровую среду и внести свой вклад в более безопасный онлайн-ландшафт для всех пользователей.