Фахівці з кібербезпеки компанії Cato Networks виявили масштабну кампанію нового ботнета Ballista, що експлуатує критичну вразливість у популярних маршрутизаторах TP-Link Archer. За даними дослідників, під загрозою перебувають понад 6000 пристроїв по всьому світу, причому найбільше атак спрямовано на організації виробничого, медичного та технологічного секторів.
Аналіз вразливості та механізм зараження
В основі атак лежить критична вразливість CVE-2023-1389, виявлена під час змагання Pwn2Own у грудні 2022 року. Ця вразливість дозволяє зловмисникам віддалено виконувати довільний код на маршрутизаторах TP-Link Archer AX-21. Незважаючи на випуск виправлення у березні 2023 року (версія прошивки 1.1.4 Build 20230219), значна кількість пристроїв залишається незахищеною.
Технічні особливості ботнета Ballista
Шкідливе програмне забезпечення поширюється через спеціальний дроппер dropbpb.sh, який завантажує основний виконуваний файл на цільовий пристрій. Особливістю малвару є підтримка різних апаратних архітектур: mips, mipsel, armv5l, armv7l та x86_64. Після успішного зараження встановлюється зашифрований канал зв’язку з командним центром через порт 82.
Функціональні можливості шкідливого ПЗ
- Віддалене виконання команд на інфікованих пристроях
- Організація DDoS-атак на визначені цілі
- Несанкціонований доступ до конфіденційних файлів
- Автоматичне розповсюдження через вразливість CVE-2023-1389
- Вдосконалені механізми приховування від систем виявлення
Географія атак та цільові сектори
Найбільша концентрація заражених пристроїв зафіксована у Бразилії, Польщі, Великобританії, Болгарії та Туреччині. Аналіз інфраструктури та програмного коду вказує на можливий зв’язок з італійськими кіберзлочинними угрупованнями. Основними мішенями стають організації зі США, Австралії, Китаю та Мексики.
Експерти з кібербезпеки відзначають активний розвиток ботнета та його технічне вдосконалення. Останні версії шкідливого ПЗ демонструють перехід від використання статичних IP-адрес до більш складної інфраструктури на базі мережі Tor, що суттєво ускладнює виявлення та блокування зловмисної активності. Власникам маршрутизаторів TP-Link Archer рекомендується терміново оновити прошивку пристроїв до актуальної версії та регулярно перевіряти наявність нових оновлень безпеки.
