Волна атак: Как ботнет Ballista захватил тысячи роутеров TP-Link и угрожает безопасности бизнеса

Специалисты по кибербезопасности из группы Cato CTRL опубликовали информацию о том, что хакеры смогли взломать около 6000 маршрутизаторов TP-Link, используя существующую уязвимость в их безопасности и добавив устройства в состав ботнета. Согласно данным Cato CTRL, вредоносная сеть Ballista эксплуатирует уязвимость удаленного выполнения кода (RCE) в модели TP-Link Archer AX-21 (CVE-2023–1389), что позволяет злоумышленникам внедрять вредоносный код и заражать другие устройства. Большее количество пострадавших роутеров зарегистрировано в Бразилии, Польше, Великобритании, Болгарии и Турции. Основные мишени атакировщиков — компании из США, Австралии, Китая и Мексики, особенно в отраслях производства, здравоохранения и технологий.

Принцип работы Ballista: в начале вредоносное ПО загружается на устройство, запускает скрипт, который получает и выполняет необходимый бинарный файл. Далее ВПО создает канал управления (C2) на порту 82, что предоставляет хакерам полный доступ к роутеру. После этого программа может выполнять удаленные команды, организовывать DDoS-атаки и просматривать конфигурационные файлы.

Возможности для взлома включают: flooder — для DDoS-атак, exploiter — для эксплуатации CVE-2023–1389, shell — для выполнения команд Linux, killall — для отключения служб. Вредоносная программа способна также скрывать свои следы, маскируя присутствие, и заражать иные маршрутизаторы.

Эксперты в области кибербезопасности предполагают, что данная атака может быть связана с итальянскими киберпреступниками: первоначально использовался IP-адрес с итальянскими характеристиками. В настоящее время злоумышленники начали использовать TOR-домены, что указывает на развитие их ботнета.

Чтобы обезопасить маршрутизатор TP-Link Archer AX-21, необходимо оперативно установить последнее обновление прошивки. Сделать это можно через официальный сайт TP-Link, где предоставлены инструкции и видео по настройке устройства.