Этот тревожный ботнет нацеливается на незащищенные маршрутизаторы TP-Link — тысячи устройств уже взломаны

Уязвимость старого роутера TP-Link снова используется злоумышленниками. Хакеры из Италии создают ботнет под названием Ballista, эксплуатируя уязвимость в роутерах TP-Link Archer, как сообщили специалисты по кибербезопасности из Cato Network.

Исследователи наблюдали ранее неизвестную глобальную кампанию по распространению ботнета IoT, которая началась в начале 2025 года.

Ботнет использует уязвимость для удаленного выполнения кода (RCE), отслеживаемую как CVE-2023-1389. Эта уязвимость ранее уже использовалась злоумышленниками для создания ботнетов, и TechRadar Pro неоднократно сообщала о различных группах, которые атаковали этот конкретный недостаток, включая известный Mirai. Сообщения об этом появлялись как в 2023 году, так и в 2024-м.

Для этой кампании Cato указывает, что злоумышленники сначала пытаются внедрить скрипт bash, который служит для размещения загрузочного механизма, доставляющего вредоносное ПО. Позже ботнет перешел на использование Tor-доменов для большей незаметности, возможно, после усиления внимания со стороны исследователей кибербезопасности.

«После выполнения вредоносного ПО устанавливается TLS-шифрованный канал управления (C2) на порту 82, который используется для полного контроля за зараженным устройством», — сообщили в Cato. «Это позволяет выполнять команды shell для дальнейшего удаленного выполнения кода и атак типа отказа в обслуживании (DoS). Кроме того, вредоносное ПО пытается прочитать конфиденциальные файлы на локальной системе».

Что касается приписывания злоумышленников, Cato с «умеренной уверенностью» считает, что угроза исходит из Италии, так как обнаруженные IP-адреса происходят именно из этой страны. Кроме того, они нашли итальянские строки в бинарном коде, что привело к названию ботнета «Ballista».

Ботнет Ballista атакует в основном организации в сферах производства, медицины и здравоохранения, услуг и технологий по всему миру, особенно в США, Австралии, Китае и Мексике. Благодаря более чем 6000 подключенным к интернету уязвимым устройствам, Cato предполагает, что поверхность атаки достаточно большая и что атаки продолжаются.

Самый эффективный способ защиты от Ballista — обновить роутеры TP-Link Archer. Компания исправила этот недостаток в версии прошивки 1.1.4 Build 20230219.