Tisíce routerov známej značky boli napadnuté. Používatelia o tom ani netušia
Kybernetickí experti odhalili nebezpečný botnet Ballista, ktorý infikuje TP-Link Archer routery cez zraniteľnosť CVE-2023-1389. Útoky sa šíria globálne.
Kybernetickí špecialisti odhalili novú hrozbu, ktorá cieli na TP-Link Archer routery. Ide o botnet s názvom Ballista, ktorý využíva zraniteľnosť CVE-2023-1389 na vzdialené vykonanie kódu (RCE). Útok bol prvýkrát zaznamenaný v januári 2025 a odvtedy infikoval viac ako 6 000 zariadení po celom svete. Odborníci upozorňujú, že zraniteľnosť bola aktívne zneužívaná už od apríla 2023 a pôvodne slúžila na šírenie malvéru Mirai. Neskôr sa však objavili ďalšie varianty, vrátane Condi a AndroxGh0st, čo poukazuje na pretrvávajúce bezpečnostné riziká. Na problematiku upozorňuje portál thehackernews.com.
Ako Ballista funguje?
Ballista sa šíri cez nezabezpečené routery a používa shell skript „dropbpb.sh“, ktorý stiahne a spustí hlavné malvérové súbory pre rôzne systémové architektúry, ako napríklad mips, arm alebo x86_64. Po infikovaní zariadenia sa vytvorí šifrované pripojenie na riadiaci server (C2) cez port 82, čo umožňuje hackerom prevziať kontrolu nad mnohými sieťovými zariadeniami. Malvér následne vykonáva príkazy útočníkov, čo môže zahŕňať napríklad spustenie ďalšieho škodlivého kódu alebo zapojenie zariadenia do rozsiahlych kybernetických útokov.
Nebezpečenstvo a možné dôsledky
Botnet Ballista je mimoriadne nebezpečný, pretože podporuje rôzne činnosti, vrátane DDoS útokov, masívneho zahlcovania cieľa požiadavkami, zneužitia zraniteľností vytvorením zadných vrátok pre ďalšie útoky, spúšťania škodlivých príkazov a ovládania infikovaných zariadení.
Okrem toho sa vyznačuje schopnosťou maskovania svojich stôp, keďže dokáže vymazávať svoju prítomnosť a vypínať staršie verzie samého seba. Výskumníci zistili, že botnet obsahuje príkazy ako „flooder“ na spustenie záplavových útokov, „shell“ na vykonávanie príkazov na infikovaných zariadeniach a „killall“ na ukončenie služieb.
Podľa odborníkov bola sieť infikovaných zariadení zaznamenaná predovšetkým v Brazílii, Poľsku, Spojenom kráľovstve, Bulharsku a Turecku. Cieli najmä na priemyselné podniky, zdravotnícke zariadenia a technologické spoločnosti. Analýza botnetu Ballista odhalila talianske jazykové reťazce v binárnych súboroch a pôvodný C2 server nachádzajúci sa v talianskej IP sieti (2.237.57[.]70). Napriek tomu, že pôvodná adresa už nie je aktívna, kyberzločinci prešli na používanie TOR sietí, aby sa dokázali vyhnúť detekcii. Tento prechod naznačuje, že útočníci sa snažia zabezpečiť dlhodobú životnosť botnetu a vyhnúť sa jednoduchému vypnutiu ich infraštruktúry bezpečnostnými expertmi.
Neprehliadni
Botnet je stále vo vývoji
Ballista je ďalším z mnohých dôkazov toho, aké extrémne nebezpečné môže byť neaktualizované sieťové zariadenie. Odborníci varujú, že botnet je stále vo vývoji a útočníci môžu prísť s ešte sofistikovanejšími metódami infikovania. Niektoré varianty už teraz využívajú TOR sieť na komunikáciu, čím sa sťažuje ich sledovanie a eliminácia. Vývoj takýchto hrozieb naznačuje, že bezpečnosť v kybernetickom svete by mala byť naďalej jednou z najvyšších priorít a organizácie by mali pravidelne monitorovať podozrivé aktivity vo svojich sieťach.
Dôležitým faktorom je aj to, že hrozby ako Ballista môžu slúžiť ako základ pre budúce útoky. Ak sa botnet podarí vylepšiť, môže sa stať ešte efektívnejším nástrojom na prenikanie do kritických infraštruktúr alebo firemných sietí. Odborníci preto odporúčajú zvýšenú ostražitosť a neustále sledovanie nových variantov tejto kybernetickej hrozby.
Komentáre