Новая ботнет-сеть Condi использует маршрутизаторы TP-Link для проведения скоординированных DDoS-атак

[Artifact]

Злоумышленники используют довольно хитрый механизм для обеспечения бесперебойной работы вредоносного кода.
В мае этого года исследователи зафиксировали в киберпространстве новую ботнет-сеть, функционирующую по модели DDoSaaS, под названием «Condi» (не путать с «Conti»). Сеть использует уязвимость в маршрутизаторах Wi-Fi TP-Link Archer AX21 (AX1800), популярных в том числе и в России, для создания послушной армии ботов, способной участвовать в масштабных скоординированных DDoS-атаках.
AX1800 — популярный двухдиапазонный маршрутизатор с поддержкой Wi-Fi 6 на базе Linux с пропускной способностью 1,8 Гбит/с, используемый в основном домашними пользователями, небольшими офисами, магазинами, кафе и т.д.
Целью Condi является добавление в ботнет-сеть новых устройств, чтобы любой желающий за скромную плату смог арендовать эти мощности для запуска DDoS-атак на определённые веб-сайты или службы.
Более того, злоумышленники, стоящие за Condi, продают исходный код вредоносной программы, что является необычайно агрессивным методом монетизации, который приводит к многочисленным ответвлениям с различным функционалом.
В новом отчёте Fortinet объясняется, что Condi нацелена на CVE-2023-1389 , серьёзную уязвимость неавторизованного ввода команд и удалённого выполнения кода в API веб-интерфейса управления маршрутизатора.
Специалисты ZDI обнаружили ошибку и сообщили о ней поставщику сетевого оборудования ещё в январе 2023 года, а уже в марте TP-Link выпустила обновление для системы безопасности с версией 1.1.4 Build 20230219. Несмотря на то, что уязвимость была закрыта несколько месяцев назад, множество роутеров до сих пор работают на старых версиях ПО, чем и пользуются злоумышленники.
Интересно также, что Condi — уже второй DDoS-ботнет, нацеленный на эту уязвимость. Первым стал ботнет Mirai в конце апреля.
Исследователи обнаружили у Condi специальный механизм избавления от конкурирующих ботнетов или своих же старых версий. Если устройство попадает в сеть Condi, все его аппаратные ресурсы будут направлены именно туда, так что хакеры используют своё творение на максимум.
Ещё один забавный факт заключается в том, что, поскольку у Condi нет механизма сохранения постоянства между перезагрузками устройства, его авторы решили подойти к проблеме новаторски. Они оснастили вредонос средством очистки следующих файлов из системных каталогов, которые отвечают за выключение или перезапуск роутера:

• /usr/sbin/reboot;

• /usr/bin/reboot;

• /usr/sbin/shutdown;

• /usr/bin/shutdown;

• /usr/sbin/poweroff;

• /usr/bin/poweroff;

• /usr/sbin/halt;

• /usr/bin/halt.

Иными словами, заражённый Condi роутер невозможно программно перезагрузить или выключить. Но есть и другой плюс, при физическом отключении, то есть полном обесточивании, вредонос, в теории, должен прекратить свою работу.
Тем не менее, без скорого обновления прошивки устройство может быть заражено повторно, так как для распространения на уязвимые маршрутизаторы TP-Link вредонос сканирует общедоступные IP-адреса с открытыми портами 80 или 8080 и отправляет жёстко запрограммированный запрос на использование для загрузки и выполнения скрипта удалённой оболочки, который и заражает устройство.
Также не совсем понятно, удастся ли вообще выполнить корректное обновление прошивки заражённого роутера без использования подручных средств, ведь часть системных файлов устройства удаляется злоумышленниками, что может повлиять и на процесс обновления.
Fortinet упоминает, что, хотя проанализированные образцы содержали сканер для уязвимости CVE-2023-1389 , специалисты компании также обнаружили и другие образцы Condi, использующие прочие уязвимости для распространения, поэтому его авторы или операторы могли экспериментировать в этом направлении.
Кроме того, аналитики обнаружили образцы, использующие сценарий командной строки с исходным кодом ADB, что потенциально указывает на распространение ботнета через устройства с открытым ADB-портом (TCP / 5555).
Такое разнообразие подходов может указывать на то, что сразу несколько злоумышленников купили исходный код Condi и корректируют его атаки по своему усмотрению.
Что касается возможностей Condi для DDoS-атак, вредоносная программа поддерживает различные методы TCP и UDP флуда, аналогичные методам Mirai. Более старые образцы также содержали методы HTTP-атаки, однако, похоже, они были удалены в последних версиях вредоносного ПО.
Признаки заражения маршрутизатора включают перегрев устройства, сбои в работе сети, необъяснимые изменения сетевых настроек устройства и периодический сброс пароля администратора.
Владельцам двухдиапазонного маршрутизатора Wi-Fi 6 Archer AX21 (AX1800) рекомендуется попробовать сначала программно перезагрузить свой роутер, а если сделать это не удастся, то уже физически, после чего незамедлительно обновить программное обеспечение устройства.
Последнее обновление прошивки можно получить в центре загрузок TP-Link . Уязвимость CVE-2023-1389 была исправлена, начиная с версии 1.1.4 Build 20230219. При загрузке обновления стоит обратить внимание на аппаратную версию своего роутера.