Kaosi i lëshuar: Malware Condi merr kontrollin e ruterëve Wi-Fi TP-Link për sulme shkatërruese DDoS Botnet

Një malware i sapo zbuluar, Condi, është shfaqur si një kërcënim i rëndësishëm, duke shfrytëzuar një dobësi sigurie në ruterat Wi-Fi TP-Link Archer AX21 (AX1800). Objektivi i tij kryesor është të shfrytëzojë këto pajisje të komprometuara, duke i bashkuar ato në një botnet të fuqishëm të Mohimit të Shërbimit të Shpërndarur (DDoS). Studiuesit kanë vërejtur një rritje të mprehtë të intensitetit të fushatës që nga përfundimi i majit 2023.

Kush është pas Condit?

Organizatori pas Condi është një individ i njohur me emrin online zxcr9999 , i cili promovon në mënyrë aktive aktivitetet e tij të paligjshme përmes kanalit Telegram Condi Network. Duke filluar nga maji 2022, aktori i kërcënimit ka fituar para nga botnet-i i tij duke ofruar DDoS-si-një-shërbim dhe madje duke shitur kodin burimor të malware. Studiuesit e sigurisë kanë analizuar tërësisht malware, duke zbuluar aftësinë e tij për të eliminuar botnet-et konkurruese në të njëjtin host. Megjithatë, Condi i mungon një mekanizëm këmbëngulës, duke e bërë atë të paaftë t'i mbijetojë një rindezjeje të sistemit.

Për të kapërcyer kufizimin e qëndrueshmërisë pas një rindezjeje të sistemit, Condi ndërmerr veprime duke fshirë binarët e shumtë përgjegjës për mbylljen ose rindezjen e sistemit. Këto binare përfshijnë /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt, dhe /usr/bin/halt. Vlen të përmendet se botneti Mirai më parë ka shfrytëzuar cenueshmërinë e synuar.

Ndryshe nga malware të tjerë të përhapur, Condi përdor një modul skaner për të identifikuar ruterat TP-Link Archer AX21 të cenueshëm ndaj CVE-2023-1389 (rezultati CVSS: 8.8). Në vend që të përdorë sulme me forcë brutale, si disa botnet, Condi ekzekuton një skript shell të marrë nga një server në distancë për të depozituar malware në pajisjet e identifikuara.

Sipas analistëve të sigurisë, raste të shumta të Condi janë shfaqur, duke shfrytëzuar dobësi të ndryshme të njohura të sigurisë për t'u përhapur. Kjo tregon se pajisjet që përdorin softuer të papatchuar janë veçanërisht të ndjeshëm ndaj objektivit të këtij malware botnet. Përveç taktikave të tij agresive të fitimit të parave, objektivi kryesor i Condi është të komprometojë pajisjet dhe të krijojë një botnet të frikshëm DDoS. Ky botnet më pas mund t'u jepet me qira aktorëve të tjerë të kërcënimit, duke u mundësuar atyre të nisin sulme të përmbytjes TCP dhe UDP në faqet e internetit dhe shërbimet e synuara.

Neutralizimi i botnet-eve është thelbësor në ruajtjen e një ekosistemi dixhital të sigurt dhe të qëndrueshëm. Botnet-et, të tilla si malware Condi, mund të shfrytëzojnë dobësitë në softuerin e papatchuar dhe të shfrytëzojnë një rrjet pajisjesh të komprometuara për aktivitete të dëmshme, siç janë sulmet DDoS. Këto sulme prishin shërbimet online dhe kërcënojnë ndjeshëm integritetin dhe disponueshmërinë e infrastrukturës kritike. Individët, organizatat dhe profesionistët e sigurisë duhet të qëndrojnë vigjilentë, të mbajnë softuerin të përditësuar dhe të përdorin masa të forta sigurie për të zbuluar dhe zbutur kërcënimet e botnet-it. Duke neutralizuar në mënyrë aktive botnet-et, ne mund të mbrojmë mjediset tona dixhitale dhe të kontribuojmë në një peizazh më të sigurt në internet për të gjithë përdoruesit.