Cato Networks, một công ty chuyên về dịch vụ an ninh mạng và mạng lưới, cho biết họ đã phát hiện ra một mạng botnet mới. Ballista, loại virus này đặc biệt nhắm vào một mẫu bộ định tuyến của TP-Link, hay còn gọi là Archer AX21.
Để kiểm soát các bộ định tuyến, botnet khai thác một lỗ hổng bảo mật. Đây là loại lệnh tiêm lỗ hổng. Nói tóm lại, kẻ tấn công có thể lợi dụng lỗ hổng này để thực hiện các lệnh từ xa trên bộ định tuyến như thể hắn là quản trị viên. Để tận dụng lỗ hổng Trong một cuộc tấn công, trước tiên tin tặc phải có thể truy cập vào giao diện quản lý của bộ định tuyến.
Hơn 6.000 bộ định tuyến dễ bị tấn công có khả năng bị Ballista xâm phạm. Mục tiêu của chiến dịch bao gồm "các tổ chức trong lĩnh vực chăm sóc sức khỏe, sản xuất, dịch vụ và công nghệ tại Hoa Kỳ, Úc, Trung Quốc và Mexico.".
Virus này tiếp tục tiến hóa và hiện có thể sử dụng mạng Tor để ngụy trang thông tin liên lạc và tránh bị phát hiện. Bằng cách sử dụng Tor (The Onion Router), phần mềm độc hại khiến việc xác định nguồn phát tán trở nên khó khăn hơn. đến các lệnh anh ta nhận được hoặc nơi anh ta gửi dữ liệu bị đánh cắp. Tóm lại, nó gây trở ngại cho các nhà chức trách và điều tra viên.
Khi một bộ định tuyến nằm trong tầm kiểm soát của Ballista, nó sẽ sử dụng nó để thực hiện các cuộc tấn công DDoS. Bằng cách khai thác các thiết bị mà nó kiểm soát, botnet có thể tạm thời làm sập các trang web. Các cuộc tấn công DDoS là một phần trong kho vũ khí của nhiều băng nhóm, bao gồm cả những kẻ hacktivist. Hầu hết các botnet cũng bị khai thác như một phần của các cuộc tấn công DDoS. Trường hợp này cũng xảy ra với Eleven11bot, chúng tôi tìm thấy nó trong số 86.000 đối tượng được kết nối trên toàn thế giới.
Nguồn: Cato Networks
Để kiểm soát các bộ định tuyến, botnet khai thác một lỗ hổng bảo mật. Đây là loại lệnh tiêm lỗ hổng. Nói tóm lại, kẻ tấn công có thể lợi dụng lỗ hổng này để thực hiện các lệnh từ xa trên bộ định tuyến như thể hắn là quản trị viên. Để tận dụng lỗ hổng Trong một cuộc tấn công, trước tiên tin tặc phải có thể truy cập vào giao diện quản lý của bộ định tuyến.
6000 bộ định tuyến dễ bị tấn công
TP-Link đã phát hành bản cập nhật bản cập nhật bảo mật vào đầu tháng 4 năm 2023, ngay sau khi lỗ hổng được tiết lộ công khai. Thật không may, không phải tất cả người dùng đều bận tâm cài đặt bản cập nhật. ngày, mở ra cánh cửa cho các cuộc tấn công mạng. Cato Networks giải thích trong thông cáo báo chí rằng cuộc tấn công "làm nổi bật sự tồn tại của các lỗ hổng bảo mật trong bộ định tuyến, thường là do không cập nhật phần mềm thường xuyên và thiếu sự nghiêm ngặt về bảo mật ở một số nhà sản xuất". được gửi đến 01Net.Hơn 6.000 bộ định tuyến dễ bị tấn công có khả năng bị Ballista xâm phạm. Mục tiêu của chiến dịch bao gồm "các tổ chức trong lĩnh vực chăm sóc sức khỏe, sản xuất, dịch vụ và công nghệ tại Hoa Kỳ, Úc, Trung Quốc và Mexico.".
Virus này tiếp tục tiến hóa và hiện có thể sử dụng mạng Tor để ngụy trang thông tin liên lạc và tránh bị phát hiện. Bằng cách sử dụng Tor (The Onion Router), phần mềm độc hại khiến việc xác định nguồn phát tán trở nên khó khăn hơn. đến các lệnh anh ta nhận được hoặc nơi anh ta gửi dữ liệu bị đánh cắp. Tóm lại, nó gây trở ngại cho các nhà chức trách và điều tra viên.
Tin tặc người Ý và các cuộc tấn công DDoS
Theo Cato Networks, rất có thể tội phạm mạng Nguồn gốc của cuộc tấn công có trụ sở tại Ý. Các nhà nghiên cứu đã phát hiện ra một số manh mối bằng tiếng Ý trong mã phần mềm độc hại. Đây là lý do tại sao các nhà nghiên cứu đặt tên cho botnet là Ballista. Tên này ám chỉ thành Rome cổ đại. Trên thực tế, đây là một loại vũ khí dạng nỏ được người La Mã sử dụng để bao vây kẻ thù.Khi một bộ định tuyến nằm trong tầm kiểm soát của Ballista, nó sẽ sử dụng nó để thực hiện các cuộc tấn công DDoS. Bằng cách khai thác các thiết bị mà nó kiểm soát, botnet có thể tạm thời làm sập các trang web. Các cuộc tấn công DDoS là một phần trong kho vũ khí của nhiều băng nhóm, bao gồm cả những kẻ hacktivist. Hầu hết các botnet cũng bị khai thác như một phần của các cuộc tấn công DDoS. Trường hợp này cũng xảy ra với Eleven11bot, chúng tôi tìm thấy nó trong số 86.000 đối tượng được kết nối trên toàn thế giới.
Nguồn: Cato Networks
