Как работает Ballista: сначала вредоносное ПО загружается на устройство и запускает скрипт, который получает и выполняет нужный бинарный файл. Затем ВПО устанавливает канал управления (C2) на порту 82, что даёт хакерам полный контроль над роутером. Программа запускает удалённые команды, атаки DDoS и может читать конфиденциальные файлы.
Поддерживаются команды для взлома: flooder — DDoS‑атаки, exploiter — эксплуатация CVE-2023–1389, shell — выполнение команд Linux, killall — отключение служб. Вредоносная программа также умеет удалять свои следы, скрывая присутствие, и заражать другие маршрутизаторы.
Исследователи кибербезопасности считают, что атака связана с итальянскими киберпреступниками: изначально использовался IP‑адрес с итальянскими параметрами. Однако злоумышленники уже перешли на TOR‑домены, что говорит о развитии ботнета.
Чтобы обезопасить роутер TP‑Link Archer AX-21, нужно срочно установить последнее обновление прошивки. Это можно сделать через официальный сайт TP‑Link, где есть инструкции и видео по настройке.
Обсудить