Ponad 6,000 Routerów Nadal Podatnych, Jako że Botnet Ballista Rozszerza Swój Zasięg

Nowo odkryta sieć botnet o nazwie Ballista aktywnie atakuje routery TP-Link Archer, wykorzystując znany błąd bezpieczeństwa do rozprzestrzeniania się w internecie – według badaczy z dziedziny cyberbezpieczeństwa z Cato Networks.

Botnet wykorzystuje lukę w oprogramowaniu sprzętowym, śledzoną jako CVE-2023-1389, która pozwala atakującym na zdalny dostęp do niezałatanych routerów TP-Link.

Amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) już zasygnalizowała ten błąd, nakłaniając agencje do załatania swoich urządzeń. Pomimo tego, ponad 6000 podatnych na ataki routerów pozostaje wciąż aktywnych online, według wyszukiwania na platformie zabezpieczeń cybernetycznych Censys.

Cato Networks po raz pierwszy wykryło kampanię Ballista 10 stycznia, zauważając kilka prób infiltracji, z najnowszą zarejestrowaną 17 lutego.

Oprogramowanie malware botnetu pozwala atakującym na wykonywanie poleceń na skompromitowanych urządzeniach, co budzi obawy, że jego twórca – który, jak się przypuszcza, mieszka we Włoszech – może mieć większe cele, wykraczające poza typowe operacje botnetu.

“Podejrzewamy, że złapaliśmy tę kampanię we wczesnym stadium,” powiedział Matan Mittelman, lider zespołu ds. prewencji zagrożeń w firmie Cato Networks, jak podaje The Record. “Obserwowaliśmy jej ewolucję, ponieważ w krótkim czasie, sprawca zagrożenia zmienił początkowy ‚dropper’ (program infekujący), aby umożliwić bardziej dyskretne połączenia z serwerem C2 za pośrednictwem sieci Tor,” dodał.

Ballista już zaatakowała organizacje w sektorach produkcji, opieki zdrowotnej, technologii i usług na terenie Stanów Zjednoczonych, Australii, Chin i Meksyku. Malware całkowicie przejmuje zainfekowane routery, odczytuje ich pliki konfiguracyjne, a następnie rozprzestrzenia się na inne urządzenia.

Zespół bezpieczeństwa Cato znalazł również dowody na to, że botnet może być zdolny do kradzieży danych. Chociaż pierwotny adres IP związany z hackerem nie jest już aktywny, badacze odkryli zaktualizowaną wersję malware na GitHub, co wskazuje, że kampania ataku się rozwija.

Badacze z Cato zauważyli, że kampania wydaje się stawać coraz bardziej zaawansowana. Mimo że malware posiada pewne cechy wspólne z innymi botnetami, nadal różni się od dobrze znanych, takich jak Mirai i Mozi.

Nieustanne ataki hakerów na routery internetowe to nic nowego. Eksperci twierdzą, że urządzenia IoT, takie jak routery, są głównymi celami ze względu na słabe hasła, złą konserwację i brak automatycznych aktualizacji zabezpieczeń.

Mittelman wyjaśniła, że na przestrzeni lat, główne botnety IoT, takie jak Mirai i Mozi, pokazały, jak łatwo można wykorzystać routery, a sprawcy zagrożeń skorzystali z tego.

Wskazała dwa kluczowe czynniki, które przyczyniły się do tego problemu: użytkownicy często zaniedbują aktualizacje firmware’u swoich routerów, a producenci routerów zazwyczaj nie przywiązują dużej wagi do bezpieczeństwa.

Routery TP-Link stanowią powtarzający się problem związany z bezpieczeństwem. Wall Street Journal niedawno doniósł, że amerykańskie agencje rozważają ich zakazanie z powodu wielokrotnego wykorzystania przez chińskich hakerów.