Хакеры заразили ботнетом Ballista тысячи роутеров TP-Link

Ботнет Ballista эксплуатирует уязвимость удаленного выполнения кода (RCE) в модели TP-Link Archer AX-21. После первоначального проникновения вредоносное ПО загружается на роутер и запускает скрипт, который загружает и исполняет бинарный файл. Затем устанавливается канал управления (C2) на порту 82, что позволяет злоумышленникам полностью контролировать устройство.

Программа способна выполнять удаленные команды, осуществлять DDoS-атаки, просматривать конфигурационные файлы и скрывать свое присутствие. Также она может распространяться на другие роутеры. Большинство зараженных устройств обнаружено в Бразилии, Польше, Великобритании, Болгарии и Турции, а основными целями атак являются медицинские и технологические компании из США, Австралии, Китая и Мексики.

Учитывая использование итальянского IP-адреса и языка, исследователи приписали атаку хакерам из Италии. Однако первоначальный IP уже не работает, его заменил новый, использующий TOR-домены, что свидетельствует о продолжающейся разработке вредоносного ПО.

Специалисты рекомендуют немедленно установить обновление безопасности для TP-Link Archer AX-21, доступное на официальном сайте компании, с инструкциями по его настройке.