Более 6,000 роутеров все еще уязвимы, поскольку ботнет Ballista продолжает расширяться

Недавно обнаруженная ботнет-сеть под названием Ballista активно атакует роутеры TP-Link Archer, используя известный уязвимость безопасности для распространения по всему интернету, сообщают исследователи кибербезопасности из Cato Networks.

Ботнет использует уязвимость в прошивке, отслеживаемую как CVE-2023-1389, которая позволяет злоумышленникам получить удаленный доступ к необновленным роутерам TP-Link.

Агентство по кибербезопасности и защите инфраструктуры США (CISA) уже обозначило этот недостаток, призывая агентства устранить уязвимости в своих устройствах. Несмотря на это, более 6 000 уязвимых роутеров остаются в сети, согласно поиску на платформе по кибербезопасности Censys.

Cato Networks впервые обнаружил кампанию Ballista 10 января, отметив несколько попыток проникновения, последняя из которых была зафиксирована 17 февраля.

Ботнет-вредоносное ПО позволяет злоумышленникам выполнять команды на скомпрометированных устройствах, вызывая опасения, что его создатель, который, как полагают, находится в Италии, может иметь более крупные цели, чем обычные операции ботнета.

«Мы подозреваем, что мы поймали эту кампанию на ранней стадии», — сказал Матан Миттельман, руководитель команды по предотвращению угроз в Cato Networks, как сообщал The Record. «Мы видели, как он эволюционировал, так как в течение короткого промежутка времени злоумышленник изменил первоначальный дроппер, чтобы позволить более скрытые соединения с сервером C2 через сеть Tor», — добавил он.

Баллиста уже нацелилась на организации в производственной сфере, здравоохранении, технологии и услугах по всем США, Австралии, Китае и Мексике. Вредоносное ПО полностью захватывает зараженные роутеры, читает их конфигурационные файлы, а затем распространяется на другие устройства.

Команда безопасности Cato также обнаружила доказательства того, что ботнет может быть способен на кражу данных. Хотя первоначальный IP-адрес, связанный с хакером, больше не активен, исследователи обнаружили обновленную версию вредоносного ПО на GitHub, что указывает на то, что атакующая кампания развивается.

Исследователи из Cato отметили, что кампания становится все более сложной. Хотя вредоносное ПО имеет некоторые общие черты с другими ботнетами, оно отличается от хорошо известных, таких как Mirai и Mozi.

Постоянное целевое взлом интернет-роутеров хакерами не является новым. Эксперты говорят, что устройства IoT, такие как роутеры, являются главными целями из-за слабых паролей, плохого обслуживания и отсутствия автоматических обновлений безопасности.

Миттельман объяснил, что на протяжении многих лет крупные ботнеты IoT, такие как Mirai и Mozi, демонстрировали, насколько легко можно эксплуатировать роутеры, и злоумышленники использовали это.

Он выделил два ключевых фактора, которые способствовали этой проблеме: пользователи часто пренебрегают обновлением прошивки на своих роутерах, а производители роутеров, в основном, не придают должного значения безопасности.

Роутеры TP-Link постоянно вызывают опасения по поводу безопасности. Недавно The Wall Street Journal сообщала, что американские агентства рассматривают возможность их запрета из-за повторного использования китайскими хакерами.