Хакери заразили ботнетом Ballista тисячі роутерів TP-Link

Ботнет Ballista експлуатує вразливість віддаленого виконання коду (RCE) у моделі TP-Link Archer AX-21. Після початкового проникнення шкідливе програмне забезпечення завантажується на роутер і запускає скрипт, який завантажує і виконує бінарний файл. Потім встановлюється канал керування (C2) на порту 82, що дозволяє зловмисникам повністю контролювати пристрій.

Програма здатна виконувати віддалені команди, здійснювати DDoS-атаки, переглядати конфігураційні файли та приховувати свою присутність. Також вона може поширюватись на інші роутери. Більшість заражених пристроїв виявлено у Бразилії, Польщі, Великій Британії, Болгарії та Туреччині, а основними цілями атак є медичні та технологічні компанії з США, Австралії, Китаю та Мексики.

Враховуючи використання італійської IP-адреси та мови, дослідники приписали атаку хакерам з Італії. Однак початковий IP вже не працює, його замінив новий, що використовує TOR-домени, що свідчить про продовження розробки шкідливого ПЗ.

Фахівці рекомендують негайно встановити оновлення безпеки для TP-Link Archer AX-21, доступне на офіційному сайті компанії, з інструкціями щодо його налаштування.