Serbest Kaos: Condi Kötü Amaçlı Yazılımı, Yıkıcı DDoS Botnet Saldırıları için TP-Link Wi-Fi Yönlendiricilerinin Kontrolünü Ele Geçirdi
Yeni keşfedilen kötü amaçlı yazılım Condi, TP-Link Archer AX21 (AX1800) Wi-Fi yönlendiricilerindeki bir güvenlik açığından yararlanarak önemli bir tehdit olarak ortaya çıktı. Birincil amacı, güvenliği ihlal edilmiş bu cihazları güçlü bir Dağıtılmış Hizmet Reddi (DDoS) botnet'inde birleştirerek kullanmaktır. Araştırmacılar, Mayıs 2023'ün sona ermesinden bu yana kampanyanın yoğunluğunda keskin bir artış kaydetti.
Condi'nin arkasında kim var?
Condi'nin arkasındaki beyin, çevrimiçi lakabı zxcr9999 tarafından tanınan ve yasadışı faaliyetlerini Telegram kanalı Condi Network aracılığıyla aktif olarak destekleyen bir kişidir. Mayıs 2022'den itibaren tehdit aktörü, hizmet olarak DDoS sunarak ve hatta kötü amaçlı yazılımın kaynak kodunu satarak botnet'inden para kazandı. Güvenlik araştırmacıları, kötü amaçlı yazılımı kapsamlı bir şekilde analiz ederek aynı ana bilgisayardaki rakip botnet'leri ortadan kaldırma yeteneğini ortaya çıkardı. Bununla birlikte, Condi'nin bir kalıcılık mekanizması yoktur, bu da onu bir sistemin yeniden başlatılmasından sağ çıkamaz hale getirir.
Sistem yeniden başlatıldıktan sonra kalıcılık sınırlamasının üstesinden gelmek için Condi, sistemin kapatılmasından veya yeniden başlatılmasından sorumlu birden çok ikili dosyayı silerek harekete geçer. Bu ikili dosyalar arasında /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ bulunur. durma ve /usr/bin/halt. Mirai botnet'in daha önce hedeflenen güvenlik açığından yararlandığını belirtmekte fayda var.
Diğer yaygın kötü amaçlı yazılımların aksine Condi, CVE-2023-1389'a (CVSS puanı: 8.8) karşı savunmasız TP-Link Archer AX21 yönlendiricilerini belirlemek için bir tarayıcı modülü kullanır. Condi, bazı botnet'ler gibi kaba kuvvet saldırıları kullanmak yerine, kötü amaçlı yazılımı belirlenen cihazlara yüklemek için uzak bir sunucudan elde edilen bir kabuk betiğini yürütür.
Güvenlik analistlerine göre, yayılmak için bilinen çeşitli güvenlik açıklarından yararlanan birden fazla Condi örneği ortaya çıktı. Bu, yama uygulanmamış yazılım çalıştıran cihazların bu botnet kötü amaçlı yazılımı tarafından hedef alınmaya özellikle duyarlı olduğunu gösterir. Agresif para kazanma taktiklerinin yanı sıra, Condi'nin birincil hedefi cihazları tehlikeye atmak ve müthiş bir DDoS botnet kurmaktır. Bu botnet daha sonra diğer tehdit aktörlerine kiralanarak hedeflenen web siteleri ve hizmetlerde TCP ve UDP sel saldırıları başlatmalarına olanak tanır.
Bot ağlarını etkisiz hale getirmek, güvenli ve istikrarlı bir dijital ekosistemi korumada çok önemlidir. Condi kötü amaçlı yazılımı gibi bot ağları, yama uygulanmamış yazılımlardaki güvenlik açıklarından yararlanabilir ve güvenliği ihlal edilmiş cihazlardan oluşan bir ağı DDoS saldırıları gibi zararlı etkinlikler için kullanabilir. Bu saldırılar çevrimiçi hizmetleri bozar ve kritik altyapının bütünlüğünü ve kullanılabilirliğini önemli ölçüde tehdit eder. Bireyler, kuruluşlar ve güvenlik uzmanları, botnet tehditlerini tespit etmek ve azaltmak için tetikte olmalı, yazılımları güncel tutmalı ve sağlam güvenlik önlemleri almalıdır. Bot ağlarını etkin bir şekilde etkisiz hale getirerek dijital ortamlarımızı koruyabilir ve tüm kullanıcılar için daha güvenli bir çevrimiçi ortama katkıda bulunabiliriz.
