Botnet Ballista : une cybermenace exploitant les routeurs Archer de TP-Link

Des chercheurs en cybersécurité ont découvert une autre campagne de botnet baptisée Ballista, qui cible les routeurs TP-Link Archer non corrigés. Détectée pour la première fois le 10 janvier 2025, la campagne exploite une vulnérabilité connue (CVE-2023-1389) pour infiltrer les appareils et se propager sur Internet. Contrairement à d'autres botnets ayant déjà exploité cette faille, Ballista semble être en cours de développement, ce qui constitue une source de préoccupation majeure pour les utilisateurs et les organisations du monde entier.

Qu'est-ce que le botnet Ballista ?

Ballista est une campagne de logiciels malveillants conçue pour compromettre les routeurs TP-Link Archer AX-21 vulnérables. Elle exploite la faille de sécurité CVE-2023-1389, une faille de sécurité très grave permettant l'injection de commandes et, in fine, l'exécution de code à distance (RCE). Une fois le routeur compromis, Ballista s'installe, établit un canal de commande et de contrôle (C2) chiffré et suit une séquence d'attaque structurée pour atteindre ses objectifs.

Le botnet se propage en exécutant un injecteur de malware, appelé « dropbpb.sh », qui récupère et exécute la charge utile principale sur les appareils infectés. Ce malware peut fonctionner sur différentes architectures système, notamment mips, mipsel, armv5l, armv7l et x86_64. Une fois à l'intérieur, le botnet exécute des commandes, lance des attaques par déni de service (DoS) et supprime même les traces de sa présence pour éviter d'être détecté.

Quel est l’objectif de Ballista ?

L'objectif principal de Ballista semble être de prendre le contrôle des appareils compromis à diverses fins malveillantes. Parmi ses principales fonctionnalités, on peut citer :

  • Exécution de commandes Shell : le logiciel malveillant permet aux attaquants d'exécuter des commandes shell Linux à distance, leur donnant un contrôle étendu sur le routeur infecté.
  • Attaques par déni de service (DoS) : à l'aide d'une commande appelée « flooder », Ballista peut lancer des attaques par inondation, perturbant ainsi les opérations du réseau.
  • Propagation vers d'autres routeurs : le logiciel malveillant peut exploiter la même vulnérabilité sur d'autres routeurs non corrigés, augmentant considérablement sa portée.
  • Accès et exfiltration des données : il tente de lire les fichiers sensibles du système compromis, exposant potentiellement des informations confidentielles.
  • Auto-préservation et évolution : Ballista est conçu pour supprimer ses versions précédentes, garantissant ainsi que seule la dernière itération soit active. De plus, des mises à jour récentes indiquent que le botnet est passé d'adresses IP codées en dur à des domaines de réseau TOR, ce qui le rend plus difficile à suivre et à neutraliser.

Quelles sont les implications ?

L'émergence de Ballista met en lumière les défis persistants en matière de sécurité des appareils connectés à Internet, notamment les routeurs grand public, souvent non corrigés. La portée du botnet est vaste, avec plus de 6 000 appareils ciblés répartis au Brésil, en Pologne, au Royaume-Uni, en Bulgarie et en Turquie. Il a également été associé à des attaques contre des entreprises des secteurs de l'industrie manufacturière, de la santé, des services et des technologies aux États-Unis, en Australie, en Chine et au Mexique.

Les implications de ce botnet vont au-delà des infections de routeurs individuels. Les appareils compromis pouvant être exploités pour des cyberattaques à grande échelle, Ballista est susceptible de contribuer à des cybermenaces mondiales, notamment :

  • Augmentation des attaques alimentées par des botnets : avec un nombre croissant d'appareils infectés, les attaquants pourraient utiliser Ballista pour des attaques DoS coordonnées, paralysant les services ciblés.
  • Violations de données et espionnage : l’accès à des fichiers sensibles peut conduire à une exfiltration de données non autorisée, mettant en danger les individus et les organisations.
  • Vulnérabilités de la chaîne d’approvisionnement : les entreprises qui s’appuient sur des routeurs compromis pourraient, sans le savoir, participer à des campagnes de cybercriminalité plus vastes.
  • Difficulté de suivi et de neutralisation : la transition du botnet vers l'utilisation de domaines de réseau TOR rend plus difficile l'identification des attaquants et l'arrêt de leurs opérations.

Comment se protéger contre les balistes ?

Compte tenu de la gravité de la menace, les utilisateurs doivent prendre des mesures proactives pour sécuriser leurs routeurs :

  1. Mettre à jour le micrologiciel du routeur : assurez-vous que le micrologiciel du TP-Link Archer AX-21 est mis à jour vers la dernière version, car les fabricants publient régulièrement des correctifs pour corriger les vulnérabilités de sécurité.
  2. Désactiver la gestion à distance : si elle n’est pas nécessaire, désactivez les fonctionnalités d’accès à distance pour empêcher les connexions non autorisées.
  3. Utilisez des informations d’identification fortes : évitez les informations d’identification de connexion par défaut et utilisez des mots de passe complexes pour l’administration du routeur.
  4. Surveiller le trafic réseau : une activité inhabituelle, telle que des pics de trafic sortant, peut indiquer une infection.
  5. Réinitialisation d'usine et reconfiguration : si un appareil est suspecté d'être compromis, effectuer une réinitialisation d'usine et le configurer à partir de zéro peut aider à supprimer le logiciel malveillant.
  6. Implémenter des règles de pare-feu : restreignez l’accès inutile aux ports administratifs et bloquez les adresses IP suspectes.

La route à suivre

Ballista n'est pas le premier botnet à exploiter les vulnérabilités des routeurs, et ce ne sera certainement pas le dernier. La présence de chaînes en italien dans les binaires du malware suggère une origine possible, mais compte tenu de son évolution, les véritables opérateurs restent inconnus. L'évolution du botnet vers des réseaux anonymisés indique qu'il est en cours d'amélioration, ce qui complique les efforts de mitigation.

Bien que Ballista se distingue des autres botnets comme Mirai et Mozi, sa capacité à se propager et à exécuter des attaques puissantes en fait une avancée majeure dans le paysage de la cybersécurité. À mesure que de plus amples informations seront disponibles, il sera essentiel de rester informé et de prendre les précautions nécessaires pour éviter des dégâts importants.

En priorisant les mises à jour de sécurité et en suivant les bonnes pratiques, les utilisateurs peuvent réduire les risques liés à Ballista et aux menaces similaires. La lutte contre les botnets est continue, mais une sensibilisation et une action rapide peuvent limiter considérablement leur impact.

Par Willa
March 12, 2025
Malware
Français
March 12, 2025
Malware

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.