Тисячі пристроїв популярній моделі роутерів TP-Link заразили небезпечним ботнетом Ballista.

Тисячі пристроїв популярній моделі роутерів TP-Link та заразили небезпечним ботнетом Ballista. Це означає, що домашній роутер може бути використаний для кібератак без вашого відома

.

Ботнет Ballista використовує вразливість віддаленого виконання коду (RCE) в моделі TP-Link Archer AX-21. Спочатку шкідливе ПЗ завантажується на пристрій і запускає скрипт, який отримує та виконує необхідний бінарний файл. Потім встановлюється канал управління (C2) на порту 82, що дає хакерам повний контроль над пристроєм.

Програма може запускати віддалені команди, DDoS-атаки та переглядати конфігураційні файли, а також приховувати сліди та свою присутність та заражати інші роутери. Серед тисяч заражених пристроїв більшість зосереджена у Бразилії, Польщі, Великій Британії, Болгарії та Туреччині, а атаки спрямовані на медичні чи технологічні компанії зі США, Австралії, Китаю та Мексики.

Враховуючи те, що використана IP-адреса та мова були італійськими, дослідники приписали атаку хакерам цієї країни. Втім, початковий IP вже не функціонує, його замінив новий варіант, який використовує домени мережі TOR – це свідчить про те, що шкідливе програмне забезпечення знаходиться на стадії активної розробки

.

Оксана Гапончук  https://ysc.kiev.ua/author/gaponchuk