Ballista Botnet Genişlerken Hala 6,000’den Fazla Router Savunmasız Kalıyor

Yeni keşfedilen bir botnet olan Ballista, aktif olarak TP-Link Archer routerları hedef alıyor ve bilinen bir güvenlik açığını kullanarak internet üzerinde yayılıyor, Cato Networks ‘teki siber güvenlik araştırmacılarına göre.

Botnet, CVE-2023-1389 olarak izlenen bir firmware zafiyetinden faydalanır ve bu zafiyet saldırganların yamanmamış TP-Link routerlara uzaktan erişim kazanmalarını sağlar.

Amerika Birleşik Devletleri Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) zaten bu hatayı işaretlemiş ve ajansları cihazlarını yamalamaya çağırdı. Buna rağmen, Censys adlı siber güvenlik platformunda yapılan bir aramaya göre, 6.000’den fazla savunmasız router hala çevrimiçi durumda.

Cato Networks, Ballista kampanyasını ilk olarak 10 Ocak’ta tespit etti, birkaç sızma girişimi belirledi, en son kaydedileni ise 17 Şubat’ta oldu.

Botnet’in zararlı yazılımı, saldırganların tehlikeye atılan cihazlarda komutlar çalıştırmasına olanak sağlar, bu da yaratıcısının – muhtemelen İtalya’da yaşayan biri – tipik botnet operasyonlarının ötesinde daha büyük hedeflere sahip olabileceği endişesini artırır.

“Bu kampanyayı erken aşamalarında yakaladığımızı düşünüyoruz,” dedi Cato Networks’teki tehdit önleme ekibi lideri Matan Mittelman, The Record tarafından bildirildiği gibi. “Evolüsyonunu gördük, çünkü kısa bir zaman dilimi içinde, tehdit unsuru başlangıçtaki dropper’ı, Tor ağı üzerinden C2 sunucusuna daha gizli bağlantılar sağlamak üzere değiştirdi,” dedi.

Ballista, ABD, Avustralya, Çin ve Meksika’daki üretim, sağlık, teknoloji ve hizmet sektöründeki kuruluşları hedef almıştır. Bu zararlı yazılım, enfekte olmuş yönlendiricileri tamamen ele geçirir, yapılandırma dosyalarını okur ve sonra diğer cihazlara yayılır.

Cato’nun güvenlik ekibi, botnet’in veri hırsızlığına yeteneği olabileceğine dair kanıtlar da buldu. Hacker’a bağlı olan orijinal IP adresi artık aktif olmasa da, araştırmacılar GitHub’da zararlı yazılımın güncellenmiş bir versiyonunu keşfetti, bu da saldırı kampanyasının evrimleştiğini gösteriyor.

Cato araştırmacıları, kampanyanın daha sofistike hale gelmekte olduğunu belirtiyorlar. Bu zararlı yazılım, diğer botnet’lerle bazı özelliklerini paylaşsa da, Mirai ve Mozi gibi tanınmış olanlardan farklıdır.

İnternet yönlendiricilerinin hackerlar tarafından sürekli hedef alınması yeni bir durum değil. Uzmanlar, IoT cihazları gibi yönlendiricilerin zayıf şifreler, kötü bakım ve otomatik güvenlik güncellemelerinin eksikliği nedeniyle ilk hedefler olduğunu söylüyorlar.

Mittelman, yıllar boyunca, Mirai ve Mozi gibi büyük IoT botnetlerinin yönlendiricilerin ne kadar kolayca sömürülebileceğini gösterdiğini ve tehdit unsurlarının bunu kullanmayı başardıklarını açıkladı.

Bu soruna katkıda bulunan iki ana faktörü belirtti: kullanıcılar genellikle yönlendiricilerinin firmware’ini güncellemeyi ihmal ederler ve yönlendirici üreticileri genellikle güvenliği önceliklendirmezler.

TP-Link router’lar tekrar eden bir güvenlik endişesi olmuştur. Wall Street Journal yakın zamanda, Çinli hacker’lar tarafından sürekli sömürülmesi nedeniyle ABD ajanslarının onları yasaklamayı düşündüğünü bildirdi.