Eksperci ds. bezpieczeństwa alarmują: nowa kampania botnetowa o nazwie Ballista sieje spustoszenie wśród niezałatanych routerów TP-Link, przejmując nad nimi kontrolę z niezwykłą łatwością. W ciągu kilku tygodni zainfekowanych zostało już ponad 6 tysięcy urządzeń, a lista ofiar stale rośnie.
Ballista wykorzystuje poważną lukę bezpieczeństwa (CVE-2023-1389) w popularnym modelu TP-Link Archer AX-21. Ta umożliwia zdalne wykonanie kodu (RCE), co oznacza, że cyberprzestępcy mogą przejąć pełną kontrolę nad urządzeniem z dowolnego miejsca na świecie. Co ciekawe, ta podatność była już wykorzystywana przez takie złośliwe oprogramowania jak Mirai, Condi czy AndroxGh0st, ale Ballista robi to na jeszcze większą skalę i z większą skutecznością.
Ballista wykorzystuje poważną lukę bezpieczeństwa (CVE-2023-1389) w popularnym routerze TP-Link Archer AX-21.
Jak działa Ballista?
Atak przebiega w kilku krokach. Najpierw dropper malware rozpoczyna proces infekcji, następnie pobierany jest shell script, który dostosowuje ładunek do architektury systemu routera. Kiedy już się zadomowi na routerze, Ballista otwiera kanał Command-and-Control (C2) na porcie 82, dzięki czemu hakerzy mogą wydawać polecenia zdalnie.
Arsenał malware'u obejmuje polecenia takie jak „flooder” (aby rozpętać atak DDoS), „exploiter” (aby uzbroić CVE-2023-1389) i „killall” (które, jak sama nazwa wskazuje, obija procesy). Ballista potrafi również zacierać ślady swojej działalności, usuwając wcześniejsze wersje samego siebie, aby uniknąć wykrycia.
Gdzie uderza Ballista?
Mapa infekcji Ballisty obejmuje miejsca na całym świecie. Jednak Polska znajduje się na liście krajów z największą liczbą zainfekowanych urządzeń. Inne tego typu skupiska znajdują się w: Brazylii, Wielkiej Brytanii, Bułgarii i Turcji. Jednak prawdziwym celem wydają się być USA, Australia, Chiny i Meksyk, gdzie Ballista atakuje sektor przemysłowy, technologiczny oraz ochrony zdrowia.
Eksperci z Cato CTRL, którzy jako pierwsi wykryli Ballistę 10 stycznia 2025 roku, podejrzewają włoskie pochodzenie botnetu. Wskazują na to zarówno początkowe adresy IP, jak i wzorce językowe w kodzie.
Jednak przestępcy szybko przenieśli swoją infrastrukturę do sieci TOR, co utrudnia ich namierzenie i świadczy o ciągłym rozwoju zagrożenia. Najnowszy atak został zarejestrowany 17 lutego 2025 roku, a eksperci ostrzegają, że Ballista nie zniknie w najbliższym czasie. Jeśli więc jeszcze nie zaktualizowaliście swojego routera Archer AX-21, to najwyższy czas to uczynić, zanim będzie za późno.
Pokaż / Dodaj komentarze do: Masz router tej firmy? Cyberprzestępcy celują w Polskę