Вивільнений хаос: зловмисне програмне забезпечення Condi бере під контроль маршрутизатори Wi-Fi TP-Link для нищівних DDoS-атак ботнетів
Нещодавно виявлена шкідлива програма Condi стала значною загрозою, використовуючи вразливість безпеки в маршрутизаторах Wi-Fi TP-Link Archer AX21 (AX1800). Його головна мета полягає в тому, щоб використовувати ці скомпрометовані пристрої, об’єднавши їх у потужний ботнет розподіленої відмови в обслуговуванні (DDoS). Дослідники відзначили різке зростання інтенсивності кампанії з кінця травня 2023 року.
Хто стоїть за Конді?
Головним організатором Condi є особа, відома під псевдонімом zxcr9999 , яка активно рекламує свою незаконну діяльність через Telegram-канал Condi Network. Починаючи з травня 2022 року, зловмисник монетизував свій ботнет, пропонуючи DDoS як послугу та навіть продаючи вихідний код шкідливого ПЗ. Дослідники безпеки ретельно проаналізували зловмисне програмне забезпечення, виявивши його здатність знищувати конкуруючі ботнети на одному хості. Однак Condi не має механізму збереження, що робить його нездатним пережити перезавантаження системи.
Щоб подолати обмеження стійкості після перезавантаження системи, Condi вживає заходів, видаляючи кілька двійкових файлів, відповідальних за завершення роботи або перезавантаження системи. Ці двійкові файли включають /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt і /usr/bin/halt. Варто зазначити, що ботнет Mirai раніше використовував цільову вразливість.
На відміну від інших поширених зловмисних програм, Condi використовує модуль сканера для виявлення маршрутизаторів TP-Link Archer AX21, уразливих до CVE-2023-1389 (оцінка CVSS: 8,8). Замість використання атак грубої сили, як у деяких бот-мережах, Condi виконує сценарій оболонки, отриманий із віддаленого сервера, щоб розмістити шкідливе програмне забезпечення на ідентифікованих пристроях.
За словами аналітиків безпеки, з’явилося кілька екземплярів Condi, які використовують різні відомі вразливості безпеки для поширення. Це вказує на те, що пристрої, на яких працює програмне забезпечення без виправлень, особливо сприйнятливі до нападу цього шкідливого ПЗ ботнету. Крім агресивної тактики монетизації, основною метою Condi є зламати пристрої та створити потужну DDoS-ботнет. Потім цей ботнет можна здати в оренду іншим суб’єктам загрози, що дозволить їм запускати атаки TCP і UDP на цільові веб-сайти та служби.
Нейтралізація ботнетів має першочергове значення для підтримки безпечної та стабільної цифрової екосистеми. Ботнети, такі як зловмисне програмне забезпечення Condi, можуть використовувати вразливості в невиправленому програмному забезпеченні та використовувати мережу скомпрометованих пристроїв для шкідливих дій, таких як DDoS-атаки. Ці атаки порушують роботу онлайн-служб і суттєво загрожують цілісності та доступності критичної інфраструктури. Окремі особи, організації та фахівці з безпеки повинні залишатися пильними, оновлювати програмне забезпечення та застосовувати надійні заходи безпеки для виявлення та пом’якшення загроз ботнетів. Активно нейтралізуючи ботнети, ми можемо захистити наше цифрове середовище та зробити свій внесок у безпечніший онлайн-ландшафт для всіх користувачів.
