Oltre 6.000 Router Ancora Vulnerabili Mentre il Botnet Ballista si Espande

Un nuovo botnet scoperto di recente, chiamato Ballista, sta prendendo di mira i router TP-Link Archer, sfruttando una nota vulnerabilità di sicurezza per diffondersi su internet, secondo i ricercatori di cybersecurity di Cato Networks.

Il botnet sfrutta una vulnerabilità del firmware, identificata come CVE-2023-1389, che consente agli aggressori di ottenere l’accesso remoto ai router TP-Link non aggiornati.

L’Agenzia per la Sicurezza delle Infrastrutture e della Cybersecurity degli Stati Uniti (CISA) ha già segnalato il difetto, esortando le agenzie a correggere i loro dispositivi. Nonostante ciò, rimangono online più di 6.000 router vulnerabili, secondo una ricerca sulla piattaforma di cybersecurity Censys.

Cato Networks ha rilevato per la prima volta la campagna Ballista il 10 gennaio, notando diversi tentativi di infiltrazione, con l’ultimo registrato il 17 febbraio.

Il malware del botnet consente agli aggressori di eseguire comandi sui dispositivi compromessi, sollevando preoccupazioni che il suo creatore – che si ritiene sia basato in Italia – possa avere obiettivi più ampi rispetto alle tipiche operazioni del botnet.

“Sospettiamo di aver intercettato questa campagna nelle sue fasi iniziali”, ha detto Matan Mittelman, leader del team di prevenzione delle minacce presso Cato Networks, come riportato da The Record. “Abbiamo notato la sua evoluzione, poiché in un breve lasso di tempo, l’attore della minaccia ha modificato il dropper iniziale per consentire connessioni più furtive al server C2 attraverso la rete Tor”, ha aggiunto.

Ballista ha già preso di mira organizzazioni nei settori della produzione, sanità, tecnologia e servizi in tutto gli Stati Uniti, Australia, Cina e Messico. Il malware prende completamente il controllo dei router infetti, legge i loro file di configurazione e poi si diffonde ad altri dispositivi.

Il team di sicurezza di Cato ha anche trovato prove che il botnet potrebbe essere capace di furto di dati. Mentre l’indirizzo IP originale collegato all’hacker non è più attivo, i ricercatori hanno scoperto una versione aggiornata del malware su GitHub, indicando che la campagna di attacco è in evoluzione.

I ricercatori di Cato hanno notato che la campagna sembra diventare sempre più sofisticata. Anche se il malware condivide alcune caratteristiche con altri botnet, rimane distinto da quelli ben noti come Mirai e Mozi.

L’incessante mira dei router internet da parte degli hacker non è una novità. Gli esperti dicono che i dispositivi IoT come i router sono obiettivi privilegiati a causa di password deboli, scarsa manutenzione e mancanza di aggiornamenti automatici di sicurezza.

Mittelman ha spiegato che nel corso degli anni, importanti botnet IoT come Mirai e Mozi hanno dimostrato quanto facilmente si possano sfruttare i router, e gli attori delle minacce ne hanno approfittato.

Ha sottolineato due fattori chiave che hanno contribuito al problema: gli utenti spesso trascurano di aggiornare il firmware dei loro router, e i produttori di router in genere non danno priorità alla sicurezza.

I router TP-Link sono stati un problema di sicurezza ricorrente. Il Wall Street Journal ha recentemente riportato che le agenzie statunitensi stanno considerando di bandirli a causa della ripetuta sfruttamento da parte di hacker cinesi.