Sprožen kaos: zlonamerna programska oprema Condi prevzame nadzor nad usmerjevalniki Wi-Fi TP-Link za uničujoče napade botnetov DDoS

Novo odkrita zlonamerna programska oprema, Condi, se je pokazala kot pomembna grožnja, saj izkorišča varnostno ranljivost v usmerjevalnikih Wi-Fi TP-Link Archer AX21 (AX1800). Njegov glavni cilj je izkoristiti te ogrožene naprave in jih sestaviti v zmogljiv botnet Distributed Denial-of-Service (DDoS). Raziskovalci so opazili močno povečanje intenzivnosti kampanje od konca maja 2023.

Kdo stoji za Condijem?

Glavni mož Condija je posameznik, znan pod spletnim vzdevkom zxcr9999 , ki aktivno promovira svoje nezakonite dejavnosti prek kanala Telegram Condi Network. Od maja 2022 je akter grožnje monetiziral svoj botnet tako, da je ponudil DDoS kot storitev in celo prodajal izvorno kodo zlonamerne programske opreme. Varnostni raziskovalci so temeljito analizirali zlonamerno programsko opremo in odkrili njeno sposobnost odstranjevanja konkurenčnih botnetov na istem gostitelju. Vendar Condi nima mehanizma vztrajnosti, zaradi česar ne more preživeti ponovnega zagona sistema.

Da bi premagal omejitev obstojnosti po vnovičnem zagonu sistema, Condi ukrepa tako, da izbriše več binarnih datotek, odgovornih za zaustavitev ali ponovni zagon sistema. Te dvojiške datoteke vključujejo /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ zaustavitev in /usr/bin/halt. Omeniti velja, da je botnet Mirai že izkoriščal ciljno ranljivost.

V nasprotju z drugo razširjeno zlonamerno programsko opremo Condi uporablja modul optičnega bralnika za prepoznavanje usmerjevalnikov TP-Link Archer AX21, ranljivih za CVE-2023-1389 (ocena CVSS: 8,8). Namesto uporabe napadov s surovo silo, kot so nekateri botneti, Condi izvede lupinski skript, pridobljen z oddaljenega strežnika, da zlonamerno programsko opremo odloži na identificirane naprave.

Po mnenju varnostnih analitikov se je pojavilo več primerkov Condi, ki za širjenje izkoriščajo različne znane varnostne ranljivosti. To pomeni, da so naprave, ki poganjajo nepopravljeno programsko opremo, še posebej dovzetne za tarčo te zlonamerne programske opreme botneta. Poleg agresivne taktike monetizacije je glavni cilj družbe Condi ogroziti naprave in vzpostaviti izjemen botnet DDoS. Ta botnet je mogoče nato dati v najem drugim akterjem groženj, kar jim omogoči zagon TCP in UDP poplavnih napadov na ciljna spletna mesta in storitve.

Nevtralizacija botnetov je najpomembnejša pri ohranjanju varnega in stabilnega digitalnega ekosistema. Botneti, kot je zlonamerna programska oprema Condi, lahko izkoristijo ranljivosti nepopravljene programske opreme in izkoristijo omrežje ogroženih naprav za škodljive dejavnosti, kot so napadi DDoS. Ti napadi motijo spletne storitve in znatno ogrožajo celovitost in razpoložljivost kritične infrastrukture. Posamezniki, organizacije in varnostni strokovnjaki morajo ostati pozorni, posodabljati programsko opremo in uporabljati robustne varnostne ukrepe za odkrivanje in ublažitev groženj botnetov. Z aktivno nevtralizacijo botnetov lahko zaščitimo naša digitalna okolja in prispevamo k varnejši spletni pokrajini za vse uporabnike.