Rozpútaný chaos: Malvér Condi prevezme kontrolu nad smerovačmi Wi-Fi TP-Link pre ničivé útoky na botnety DDoS

Novoobjavený malvér Condi sa ukázal ako významná hrozba, ktorá využíva bezpečnostnú zraniteľnosť v smerovačoch Wi-Fi TP-Link Archer AX21 (AX1800). Jeho primárnym cieľom je využiť tieto napadnuté zariadenia a zostaviť ich do výkonného botnetu Distributed Denial-of-Service (DDoS). Vedci zaznamenali prudký nárast intenzity kampane od konca mája 2023.

Kto stojí za Condi?

Hlavný mozog Condi je jednotlivec známy pod online prezývkou zxcr9999 , ktorý aktívne propaguje svoje nezákonné aktivity prostredníctvom telegramového kanála Condi Network. Počnúc májom 2022, aktér hrozby speňažil svoj botnet ponúkaním DDoS ako služby a dokonca aj predajom zdrojového kódu malvéru. Bezpečnostní výskumníci dôkladne analyzovali malvér a odhalili jeho schopnosť eliminovať konkurenčné botnety na tom istom hostiteľovi. Condi však chýba mechanizmus pretrvávania, vďaka čomu nie je schopný prežiť reštart systému.

Aby sa prekonalo obmedzenie pretrvávania po reštarte systému, spoločnosť Condi podnikne kroky vymazaním viacerých binárnych súborov zodpovedných za vypnutie alebo reštart systému. Tieto binárne súbory zahŕňajú /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt a /usr/bin/halt. Stojí za zmienku, že botnet Mirai predtým využíval cielenú zraniteľnosť.

Na rozdiel od iného rozšíreného malvéru Condi využíva modul skenera na identifikáciu smerovačov TP-Link Archer AX21 zraniteľných voči CVE-2023-1389 (CVSS skóre: 8,8). Namiesto použitia útokov hrubou silou, ako sú niektoré botnety, Condi spustí shellový skript získaný zo vzdialeného servera na uloženie malvéru na identifikované zariadenia.

Podľa bezpečnostných analytikov sa objavilo viacero prípadov Condi, ktoré na šírenie využívajú rôzne známe bezpečnostné zraniteľnosti. To naznačuje, že zariadenia s neopraveným softvérom sú obzvlášť náchylné na to, aby boli napadnuté malvérom tohto botnetu. Okrem agresívnej monetizačnej taktiky je hlavným cieľom spoločnosti Condi kompromitovať zariadenia a vytvoriť impozantný botnet DDoS. Tento botnet je potom možné prenajať iným aktérom hrozieb, čo im umožní spustiť povodňové útoky TCP a UDP na cielené webové stránky a služby.

Neutralizácia botnetov je prvoradá pri udržiavaní bezpečného a stabilného digitálneho ekosystému. Botnety, ako napríklad malvér Condi, dokážu zneužiť zraniteľné miesta v neopravenom softvéri a využiť sieť napadnutých zariadení na škodlivé aktivity, ako sú DDoS útoky. Tieto útoky narúšajú online služby a výrazne ohrozujú integritu a dostupnosť kritickej infraštruktúry. Jednotlivci, organizácie a odborníci na bezpečnosť musia zostať ostražití, aktualizovať softvér a používať robustné bezpečnostné opatrenia na detekciu a zmiernenie hrozieb botnetov. Aktívnou neutralizáciou botnetov môžeme chrániť naše digitálne prostredie a prispieť k bezpečnejšiemu online prostrediu pre všetkých používateľov.