Тысячи роутеров TP-Link заражены ботнетом Ballista
Исследователи кибербезопасности из команды Cato CTRL опубликовали отчёт, где говорится, что хакеры взломали 6 тысяч роутеров TP‑Link через уязвимость безопасности и превратили эти устройства в часть сети ботнета. По данным Cato CTRL, вредоносная сеть Ballista использует уязвимость RCE в TP‑Link Archer AX-21 , которая позволяет запускать удалённый код и заражать другие устройства. Большинство заражённых устройств находятся в Бразилии, Польше, Великобритании, Болгарии и Турции. При этом атаки направлены на компании из США, Австралии, Китая и Мексики, особенно в сфере производства, медицины и технологий.
Как работает Ballista: сначала вредоносное ПО загружается на устройство и запускает скрипт, который получает и выполняет нужный бинарный файл. Затем ВПО устанавливает канал управления (C2) на порту 82, что даёт хакерам полный контроль над роутером. Программа запускает удалённые команды, атаки DDoS и может читать конфиденциальные файлы.
Поддерживаются команды для взлома: flooder — DDoS‑атаки, exploiter — эксплуатация CVE-2023–1389, shell — выполнение команд Linux, killall — отключение служб. Вредоносная программа также умеет удалять свои следы, скрывая присутствие, и заражать другие маршрутизаторы.
Исследователи кибербезопасности считают, что атака связана с итальянскими киберпреступниками: изначально использовался IP‑адрес с итальянскими параметрами. Однако злоумышленники уже перешли на TOR‑домены, что говорит о развитии ботнета.
Чтобы обезопасить роутер TP‑Link Archer AX-21, нужно срочно установить последнее обновление прошивки. Это можно сделать через официальный сайт TP‑Link, где есть инструкции и видео по настройке.
Написать комментарий