Ботнет Ballista: угроза для устройств Интернета вещей
Источник: www.catonetworks.com
Компания Cato CTRL недавно выявила новый ботнет Интернета вещей под названием Ballista, который нацелен на маршрутизаторы TP-Link Archer. Используя критическую уязвимость удаленного выполнения кода (CVE-2023-1389), этот ботнет подчеркивает продолжающиеся проблемы связанныe с уязвимостями в устройствах IoT, усугубленные устаревшим встроенным обеспечением и недостаточными мерами безопасности со стороны производителей.
Растущая угроза
Cato CTRL собирает данные о попытках взлома устройств Интернета вещей с начала 2025 года и отмечает резкий рост числа автоматических атак на устройства TP-Link. Ботнет Ballista использует схему атаки, которая начинается с начальной загрузки, включающей средство удаления вредоносного ПО.
Как работает Ballista
Схема атаки ботнета включает несколько этапов:
- Начальная загрузка включает в себя bash-скрипт, предназначенный для загрузки основного вредоносного ПО с сервера злоумышленника через HTTP на порту 81.
- Следующий этап устанавливает полные права доступа к файлу вредоносного ПО и запускает его в фоновом режиме, после чего удаляет программу-дроппер с диска для предотвращения обнаружения.
- После этого вредоносная программа устанавливает канал управления (C2) на порту 82, защищенный шифрованием TLS.
Это позволяет злоумышленникам выдавать команды, выполнять команды командной строки и потенциально инициировать атаки типа DoS.
Возникновение и распространение
Ранний анализ указывает на итальянского хакера, стоящего за ботнетом Ballista, с идентифицируемыми IP-адресами и итальянскими строками кода в вредоносном ПО. Ботнет нацелен на широкий спектр секторов, включая здравоохранение, производство и технологии, а его влияние ощущается в таких странах, как США, Австралия и Китай.
Потенциальные риски и меры безопасности
Cato CTRL выявила более 6000 уязвимых устройств TP-Link, которые потенциально подвержены риску. Вредоносная программа спроектирована как модульная и поддерживает очередь задач, получаемых с сервера C2. Основные функции включают:
- Уничтожение предыдущих экземпляров самого себя для предотвращения обнаружения.
- Чтение конфиденциальных файлов, таких как /etc/passwd и /etc/shadow.
- Распространение по сетям, используя уязвимость CVE-2023-1389.
Кроме того, ботнет взаимодействует с сервером C2 по специальному протоколу и передает данные по зашифрованным каналам. Недавние наблюдения показывают, что хакеры начали использовать домены Tor для дополнительной скрытности при развертывании вредоносного ПО, что свидетельствует о заметной эволюции их тактики.
Необходимость вмешательства
Операционные возможности ботнета Ballista — эксплуатация, устойчивость, сбор данных и выполнение команд — подчеркивают значительные риски для безопасности устройств Интернета вещей. Устранение данных уязвимостей является важнейшей задачей для обеспечения безопасности критически важной инфраструктуры и предотвращения массового использования уязвимых устройств в различных секторах.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
