Дом под осадой: Ballista превращает домашний Wi-Fi в портал для хакеров

Уязвимые роутеры TP-Link Archer стали мишенью новой ботнет-кампании Ballista, о чём сообщили исследователи из компании Cato Networks. Вредоносная сеть использует уязвимость CVE-2023-1389 , которая позволяет злоумышленникам выполнять произвольный код на необновлённых устройствах.

Эта критическая уязвимость, затрагивающая TP-Link Archer AX-21, позволяет внедрять команды и удалённо управлять устройством. Первые признаки эксплуатации были зафиксированы ещё в апреле 2023 года, когда злоумышленники распространяли ботнет Mirai. Позже уязвимость использовалась для распространения других вредоносных программ, таких как Condi и AndroxGh0st.

Специалисты Cato впервые выявили активность Ballista 10 января 2025 года, а последнее зафиксированное нападение произошло 17 февраля. Атака начинается с загрузки вредоносного скрипта «dropbpb.sh», который запускает исполняемый файл, адаптированный под различные архитектуры, включая mips, arm и x86_64.

После установки зловредное ПО создаёт зашифрованный канал управления через порт 82, позволяя злоумышленникам запускать команды для дальнейших атак, в том числе удалённого выполнения кода и атак отказа в обслуживании (DoS). Также вредоносная программа пытается получить доступ к конфиденциальным файлам системы.

Ballista поддерживает несколько команд, среди которых «flooder» для организации атак перегрузки, «exploiter» для эксплуатации CVE-2023-1389 и «shell» для выполнения команд в Linux. Кроме того, ботнет может удалять свои следы, завершать ранее запущенные копии себя и распространяться на другие устройства через ту же уязвимость.

Исследователи обнаружили в коде вредоносного ПО строки с итальянскими комментариями, а также итальянский IP-адрес управления (2.237.57[.]70), что может указывать на происхождение злоумышленников. Сейчас вышеуказанный IP-адрес уже неактивен, а новая версия Ballista использует домены сети TOR для сокрытия источника управления.

По данным Censys, более 6000 устройств уже заражены Ballista, а вспышки активности ботнета зафиксированы в Бразилии, Польше, Великобритании, Болгарии и Турции. Среди атакованных компаний — организации из сфер производства, здравоохранения, технологий и сервисных услуг в США, Австралии, Китае и Мексике.

Хотя Ballista имеет сходство с другими ботнетами, такими как Mirai и Mozi, новый ботнет является самостоятельной угрозой, что подчёркивает его активное развитие и потенциал для дальнейших атак.