Τον Μάιο του 2023, εμφανίστηκε ένα νέο botnet DDoS-as-a-Service με την ονομασία “Condi”, το οποίο εκμεταλλευόταν μια ευπάθεια στα TP-Link Archer AX21 (AX1800) Wi-Fi router για να δημιουργήσει έναν στρατό από bots και να διεξάγει επιθέσεις.
Δείτε επίσης: Η πόλη Fayetteville του Arkansas αντιμετωπίζει μια εξουθενωτική κυβερνοεπίθεση
Ο AX1800 είναι ένας δημοφιλής δρομολογητής Wi-Fi 6 διπλής ζώνης (2,4 GHz + 5 GHz) βασισμένος σε Linux με εύρος ζώνης 1,8 Gbps, που χρησιμοποιείται κυρίως από οικιακούς χρήστες, μικρά γραφεία, καταστήματα, καφετέριες κ.λπ.
Το Condi malware στοχεύει να στρατολογήσει νέες συσκευές για τη δημιουργία ενός ισχυρού botnet DDoS (distributed denial of service), το οποίο μπορεί να ενοικιαστεί για να εξαπολύει επιθέσεις σε ιστότοπους και υπηρεσίες.
Επιπλέον, οι απειλητικοί φορείς πίσω από το Condi malware πωλούν τον πηγαίο κώδικα του κακόβουλου λογισμικού. Πρόκειται για μια ασυνήθιστα επιθετική μέθοδο monetization που προορίζεται να οδηγήσει σε πολυάριθμες διακλαδώσεις έργων με διαφορετικά χαρακτηριστικά.
Μια νέα έκθεση της Fortinet που δημοσιεύθηκε σήμερα εξηγεί ότι το Condi malware στοχεύει στο CVE-2023-1389, μια ευπάθεια υψηλής σοβαρότητας, μη εξουσιοδοτημένης έγχυσης εντολών και απομακρυσμένης εκτέλεσης κώδικα στο API του web management interface του router.
Δείτε επίσης: Οι Ρώσοι hackers APT28 παραβίασαν email servers ουκρανικών οργανισμών
Το ZDI ανακάλυψε το ελάττωμα και το ανέφερε στον προμηθευτή δικτυακού εξοπλισμού τον Ιανουάριο του 2023, με την TP-Link να κυκλοφορεί τον Μάρτιο μια ενημερωμένη έκδοση ασφαλείας 1.1.4 Build 20230219. Το Condi είναι το δεύτερο DDoS botnet που στοχεύει σε αυτή την ευπάθεια, αφού το Mirai την εκμεταλλεύτηκε προηγουμένως στα τέλη Απριλίου.
Για να αντιμετωπίσει τις επικαλύψεις επιθέσεων, το Condi διαθέτει έναν μηχανισμό που επιχειρεί να σκοτώσει οποιεσδήποτε διεργασίες που ανήκουν σε γνωστά ανταγωνιστικά botnets. Ταυτόχρονα, σταματάει και τις παλαιότερες εκδόσεις του εαυτού του. Επειδή το Condi δεν διαθέτει μηχανισμό persistence για να επιβιώνει μεταξύ επανεκκινήσεων συσκευών, οι δημιουργοί του αποφάσισαν να το εξοπλίσουν με έναν wiper για τα ακόλουθα αρχεία, ο οποίος εμποδίζει το κλείσιμο ή την επανεκκίνηση των συσκευών.
- /usr/sbin/reboot
- /usr/bin/reboot
- /usr/sbin/shutdown
- /usr/bin/shutdown
- /usr/sbin/poweroff
- /usr/bin/poweroff
- /usr/sbin/halt
- /usr/bin/halt
Για τη διάδοση σε ευάλωτους δρομολογητές TP-Link, το κακόβουλο λογισμικό αναζητά δημόσιες IP με ανοικτές θύρες 80 ή 8080 και στέλνει ένα hardcoded exploitation request για τη λήψη και εκτέλεση ενός remote shell script, μολύνοντας τη νέα συσκευή.
Η Fortinet αναφέρει ότι, ενώ τα δείγματα που ανέλυσε περιείχαν έναν σαρωτή για το CVE-2023-1389, έχει επίσης παρατηρήσει άλλα δείγματα Condi που χρησιμοποιούν διαφορετικά ελαττώματα για να διαδοθούν- έτσι, οι συγγραφείς ή οι χειριστές τους μπορεί να πειραματίζονται σε αυτό το μέτωπο.
Επιπλέον, οι αναλυτές βρήκαν δείγματα που χρησιμοποιούν ένα shell script με πηγή ADB (Android Debug Bridge), υποδεικνύοντας ενδεχομένως ότι το botnet εξαπλώνεται μέσω συσκευών με ανοιχτή θύρα ADB (TCP/5555).
Κατά πάσα πιθανότητα, αυτό είναι το άμεσο αποτέλεσμα πολλαπλών απειλητικών φορέων που έχουν αγοράσει τον πηγαίο κώδικα του Condi και προσαρμόζουν τις επιθέσεις του κατά το δοκούν.
Όσον αφορά τις δυνατότητες επίθεσης DDoS του Condi, το κακόβουλο λογισμικό υποστηρίζει διάφορες μεθόδους UDP flood και UDP παρόμοιες με αυτές του Mirai.
Δείτε επίσης: Πανεπιστήμιο Manchester: Οι χάκερς απειλούν με διαρροή δεδομένων
Τα παλαιότερα δείγματα περιείχαν και μεθόδους επίθεσης HTTP- ωστόσο, αυτές φαίνεται να έχουν αφαιρεθεί από την τελευταία έκδοση του κακόβουλου λογισμικού.
Οι κάτοχοι του δρομολογητή Wi-Fi 6 διπλής ζώνης Archer AX21 AX1800 μπορούν να λάβουν την πιο πρόσφατη ενημέρωση firmware για την έκδοση hardware της συσκευής τους από το κέντρο λήψεων του TP-Link.
Τα σημάδια ενός μολυσμένου δρομολογητή TP-Link περιλαμβάνουν υπερθέρμανση της συσκευής, διακοπές δικτύου, ανεξήγητες αλλαγές στις ρυθμίσεις δικτύου της συσκευής και επαναφορά του κωδικού πρόσβασης διαχειριστή.
Πηγή πληροφοριών: bleepingcomputer.com