Хакеры заразили тысячи роутеров TP-Link ботнетом Ballista — из-за уязвимости в одной конкретной модели

В отчёте команды Cato CTRL отмечается, что хакеры запустили новую ботнет-кампанию, направленную на роутеры TP-Link — в настоящее время заражены более 6000 устройств.

Отмечается, что ботнет Ballista использует уязвимость удаленного выполнения кода (RCE) в модели TP-Link Archer AX-21. Изначально вредоносное ПО загружается на устройство и запускает скрипт, который получает и выполняет нужный бинарный файл, а дальше устанавливает канал управления (C2) на порту 82, обеспечивая хакерам полный контроль на устройстве.

Программа может запускать удаленные команды, DDoS-атаки и просматривать конфигурационные файлы, а также скрывать следы и свое присутствие, и заражать другие роутеры. Среди тысяч зараженных устройств большинство сосредоточено в Бразилии, Польше, Великобритании, Болгарии и Турции, а атаки направлены на медицинские или технологические компании из США, Австралии, Китая и Мексики.

Учитывая то, что использованный IP-адрес и язык были итальянскими, исследователи приписали атаку хакерам этой страны. Впрочем, начальный IP уже не функционирует, его заменил новый вариант, который использует домены сети TOR — это свидетельствует о том, что вредоносное программное обеспечение находится в стадии активной разработки.

Исследователи советуют немедленно установить рекомендованный патч для роутера TP-Link Archer AX-21 — доступен через официальную страницу компании вместе с инструкциями по настройке.

Источник: tomsguide