დავით მაჭახელიძე

კიბერუსაფრთხოების მკვლევარებმა Cato CTRL-ის გუნდიდან გამოაქვეყნეს მოხსენება, სადაც ნათქვამია, რომ ჰაკერებმა TP-Link-ის 6 ათასი როუტერი გატეხეს უსაფრთხოების დაუცველობის გამო და ეს მოწყობილობები ბოტნეტის ქსელის ნაწილად აქციეს. Cato CTRL-ის მონაცემებით, მავნე ქსელი Ballista იყენებს RCE-ს დაუცველობას TP-Link Archer AX-21-ში (CVE-2023–1389), რომელიც საშუალებას გაძლევთ გაუშვათ დისტანციური კოდი და დააინფიციროთ სხვა მოწყობილობები. ინფიცირებული მოწყობილობების უმეტესობა ბრაზილიაში, პოლონეთში, დიდ ბრიტანეთში, ბულგარეთსა და თურქეთში მდებარეობს. ამავდროულად, თავდასხმები მიმართულია აშშ-ის, ავსტრალიის, ჩინეთისა და მექსიკის კომპანიებზე, განსაკუთრებით წარმოების, მედიცინისა და ტექნოლოგიების სფეროებში.

როგორ მუშაობს Ballista: ჯერ მავნე პროგრამული უზრუნველყოფა იტვირთება მოწყობილობაზე და იწყებს სკრიპტს, რომელიც იღებს და ასრულებს საჭირო ბინარულ ფაილს. შემდეგ, მავნე პროგრამა აყენებს საკონტროლო არხს (C2) 82 პორტზე, რაც ჰაკერებს როუტერზე სრულ კონტროლს აძლევს. პროგრამა იწყებს დისტანციურ ბრძანებებს, DDoS შეტევებს და შეუძლია კონფიდენციალური ფაილების წაკითხვა.

მხარდაჭერილია ჰაკერული ბრძანებები: flooder – DDoS შეტევები, exploiter – CVE-2023–1389 ექსპლუატაცია, shell – Linux ბრძანებების შესრულება, killall – სერვისების გამორთვა. მავნე პროგრამამ ასევე იცის საკუთარი კვალის წაშლა, ყოფნის დამალვა და სხვა მარშრუტიზატორების ინფიცირება.

კიბერუსაფრთხოების მკვლევარები თვლიან, რომ თავდასხმა იტალიელ კიბერკრიმინალებს უკავშირდება: თავდაპირველად გამოიყენებოდა IP მისამართი იტალიური პარამეტრებით. თუმცა, თავდამსხმელები უკვე გადავიდნენ TOR დომენებზე, რაც ბოტნეტის განვითარებაზე მიუთითებს.

TP-Link Archer AX-21 როუტერის დასაცავად, სასწრაფოდ უნდა დააინსტალიროთ firmware-ის უახლესი ვერსია. ეს შეგიძლიათ გააკეთოთ TP-Link-ის ოფიციალური ვებსაიტის მეშვეობით, სადაც არის ინსტრუქციები და ვიდეოები კონფიგურაციის შესახებ.