В мае специалисты обнаружили новый ботнет Condi, предназначенный для формирования масштабных DDoS-атак. В качестве основных узлов-исполнителей задействованы маршрутизаторы Archer AX21 от TP-Link. Для заражения сетевых устройств используется уязвимость c индексом CVE-2023-1389, которая позволяет запускать команды в обход системы аутентификации.
Впервые баг обнаружили еще в конце прошлого года в рамках соревнования Pwn2Own.
Модель AX1800 довольно популярна как среди рядовых пользователей, так и небольших компаний. Программная часть основана на ОС Linux, пропускная способность составляет 1,8 Гбит/сек (каналы 5 и 2,4 ГГц).
В отчете отмечается, что злоумышленники монетизируют Condi не только путем сдачи ботнета в аренду, но и предлагают приобрести исходный код вредоносной утилиты. Практика показывает, что такая агрессивная монетизация в дальнейшем приводит к появлению многочисленных модификаций малварей – добавляются новые устройства, схемы распространения, вредоносный функционал и т.д.
Поскольку уязвимость используют и другие крупные ботнеты (например, Mirai), функционал Condi имеет инструменты для обнаружения сторонней активности и остановки таких процессов. Также деактивируются собственные старые версии.
Нестандартно реализован механизм препятствования удалению. Утилита неспособна закрепится в программной оболочке, поэтому после перезагрузки весь вредоносный код удаляется. Авторы вируса просто решили удалять ряд системных файлов из каталогов /usr/sbin/ и /usr/sbin/, что блокирует функцию перезагрузки или выключения:
- halt;
- poweroff;
- shutdown;
- reboot.
На начальном этапе вредоносное приложение сканирует общедоступные IP, осуществляя поиск маршрутизаторов с открытыми портами 8080 или 80. При обнаружении подходящего объекта атаки инициируется отправка и запуск remote shell скрипта, предназначенного для заражения устройства.
В официальном отчете также упоминается, что встречаются модификации Condi, которые на этапе распространения пытаются использовать и другие уязвимости. Возможно, владельцы вируса экспериментируют, пытаясь найти наиболее эффективную схему.
Также специалисты обнаружили модификации, в которых алгоритм распространения основан на шелл-скрипте с Android Debug Bridge. Это может свидетельствовать о том, что для распространения используются устройства с открытым портом TCP 5555. Одна из возможных причин – программу приобрела другая группа хакеров и пытается адаптировать ее для других задач.