Ботнет Ballista: киберугроза, использующая маршрутизаторы TP-Link Archer

Исследователи кибербезопасности обнаружили еще одну кампанию ботнета под названием Ballista, которая была нацелена на непатченные маршрутизаторы TP-Link Archer. Кампания, впервые обнаруженная 10 января 2025 года, использует известную уязвимость (CVE-2023-1389) для проникновения на устройства и распространения по Интернету. В отличие от других ботнетов, которые ранее эксплуатировали этот недостаток, Ballista, по-видимому, находится в стадии активной разработки, что представляет серьезную проблему для пользователей и организаций по всему миру.

Что такое ботнет Ballista?

Ballista — вредоносная программная кампания, разработанная для взлома уязвимых маршрутизаторов TP-Link Archer AX-21. Она использует CVE-2023-1389, уязвимость безопасности высокой степени серьезности, которая позволяет выполнять инъекцию команд и, в конечном итоге, удаленное выполнение кода (RCE). После взлома маршрутизатора Ballista устанавливается сама, создает зашифрованный канал управления и контроля (C2) и следует структурированной последовательности атак для достижения своих целей.

Ботнет распространяется посредством запуска вредоносного дроппера, идентифицированного как «dropbpb.sh», который извлекает и запускает основную полезную нагрузку на зараженных устройствах. Этот вредоносный код может работать на различных архитектурах систем, включая mips, mipsel, armv5l, armv7l и x86_64. Оказавшись внутри, ботнет выполняет команды, проводит атаки типа «отказ в обслуживании» (DoS) и даже удаляет следы своего присутствия, чтобы избежать обнаружения.

Чего хочет достичь Ballista?

Основная цель Ballista, по-видимому, заключается в получении контроля над скомпрометированными устройствами для различных вредоносных целей. Некоторые из ключевых функций включают:

• Выполнение команд оболочки: вредоносная программа позволяет злоумышленникам удаленно запускать команды оболочки Linux, что дает им полный контроль над зараженным маршрутизатором.
• Атаки типа «отказ в обслуживании» (DoS): используя команду, известную как «flooder», Ballista может инициировать атаки типа «flood», нарушая работу сети.
• Распространение на другие маршрутизаторы: вредоносное ПО может использовать ту же уязвимость на других неисправленных маршрутизаторах, значительно увеличивая охват.
• Доступ к данным и их утечка: пытается прочитать конфиденциальные файлы из взломанной системы, потенциально раскрывая конфиденциальную информацию.
• Самосохранение и эволюция: Ballista разработана для удаления предыдущих версий себя, гарантируя, что активна только последняя итерация. Кроме того, недавние обновления указывают на то, что ботнет перешел с жестко закодированных IP-адресов на использование доменов сети TOR, что затрудняет отслеживание и нейтрализацию.

Каковы последствия?

Появление Ballista подчеркивает текущие проблемы безопасности для подключенных к Интернету устройств, особенно маршрутизаторов потребительского уровня, которые часто остаются без исправлений. Охват ботнета обширен, более 6000 целевых устройств распределены по Бразилии, Польше, Великобритании, Болгарии и Турции. Он также был связан с атаками на предприятия в секторах производства, здравоохранения, услуг и технологий в Соединенных Штатах, Австралии, Китае и Мексике.

Последствия этого ботнета выходят за рамки отдельных заражений маршрутизаторов. Поскольку скомпрометированные устройства могут быть использованы для крупномасштабных кибератак, Ballista может внести свой вклад в глобальные киберугрозы, включая:

• Рост числа атак с использованием ботнетов: с ростом числа зараженных устройств злоумышленники могут использовать Ballista для скоординированных DoS-атак, парализуя целевые сервисы.
• Утечки данных и шпионаж: доступ к конфиденциальным файлам может привести к несанкционированному извлечению данных, подвергая риску как отдельных лиц, так и организации.
• Уязвимости цепочки поставок: предприятия, использующие взломанные маршрутизаторы, могут неосознанно стать частью более крупных киберпреступных кампаний.
• Сложность отслеживания и нейтрализации: переход ботнета на использование доменов сети TOR затрудняет выявление злоумышленников и пресечение их деятельности.

Как защититься от баллисты?

Учитывая серьезность угрозы, пользователи должны принять упреждающие меры для защиты своих маршрутизаторов:

1. Обновите прошивку маршрутизатора: убедитесь, что прошивка TP-Link Archer AX-21 обновлена до последней версии, поскольку производители регулярно выпускают исправления для устранения уязвимостей безопасности.
2. Отключите удаленное управление: если в этом нет необходимости, отключите функции удаленного доступа, чтобы предотвратить несанкционированные подключения.
3. Используйте надежные учетные данные: избегайте использования учетных данных по умолчанию и используйте сложные пароли для администрирования маршрутизатора.
4. Контролируйте сетевой трафик: необычная активность, например всплески исходящего трафика, может указывать на заражение.
5. Сброс настроек до заводских и повторная настройка: если есть подозрение, что устройство взломано, сброс настроек до заводских и повторная настройка с нуля могут помочь удалить вредоносное ПО.
6. Внедрите правила брандмауэра: ограничьте ненужный доступ к административным портам и заблокируйте подозрительные IP-адреса.

Дорога вперед

Ballista — не первый ботнет, эксплуатирующий уязвимости маршрутизаторов, и, конечно, не последний. Наличие строк на итальянском языке в двоичных файлах вредоносного ПО предполагает возможное происхождение, но с учетом его эволюционной природы истинные операторы остаются неизвестными. Сдвиг ботнета в сторону анонимных сетей указывает на то, что он активно совершенствуется, что усложняет усилия по смягчению последствий.

Хотя Ballista отличается от других ботнетов, таких как Mirai и Mozi, ее способность к самораспространению и выполнению мощных атак делает ее примечательным достижением в области кибербезопасности. По мере появления новых подробностей, сохранение информации и принятие необходимых мер предосторожности будут иметь ключевое значение для предотвращения широкомасштабного ущерба.

Отдавая приоритет обновлениям безопасности и следуя лучшим практикам, пользователи могут снизить риск Ballista и подобных угроз. Борьба с ботнетами продолжается, но осведомленность и своевременные действия могут значительно ограничить их влияние.