Bức tranh lớn: Bộ định tuyến Wi-Fi TP-Link Archer AX21 (AX1800) một lần nữa trở thành mục tiêu của bọn tội phạm mạng đang cố gắng xây dựng một đội quân bot có khả năng DDoS. Nhưng Condi không chỉ là một mạng độc hại khác vì những người tạo ra nó rõ ràng đang cố gắng biến phần mềm độc hại thành một hoạt động kinh doanh thực sự (mặc dù là bất hợp pháp).
Doanh nghiệp bảo mật FortiGuard Labs tìm thấy gần đây các mẫu của mạng botnet “DDoS-as-a-service” tự gọi mình là Condi, một mối đe dọa được thiết kế để lây lan qua các bộ định tuyến TP-Link Archer AX21 (AX1800) không an toàn. AX1800 là một thiết bị dựa trên Linux gần đây được phát hiện có lỗ hổng CVE-2023-1389, một lỗ hổng nghiêm trọng có thể bị khai thác để thực thi mã độc từ xa thông qua API của giao diện dựa trên web của bộ định tuyến.
Lỗ hổng CVE-2023-1389 được phát hiện vào tháng 3 và đã bị tội phạm mạng tích cực khai thác để lợi dụng các bộ định tuyến TP-Link AX1800 dễ bị tấn công và xây dựng các mạng botnet như Mirai. Condi, tuy nhiên, cho thấy khả năng đáng chú ý của riêng mình. Mạng botnet mới có thể được thuê để thực hiện các cuộc tấn công DDoS nhằm vào các máy chủ và trang web internet, nhưng nhóm đứng sau hoạt động độc hại này cũng đang khám phá các cơ hội “kinh doanh” khác.
Các bên quan tâm cũng có thể mua cả mã nguồn tiêu chuẩn và mã nguồn “riêng tư” của mạng botnet Condi, một chiến thuật kiếm tiền khá tích cực có khả năng dẫn đến sự gia tăng của các mẫu vật Condi tùy chỉnh trong những tuần và tháng tới.
Phiên bản “tiêu chuẩn” (nhị phân) của mạng botnet Condi chứa một thành phần quét tìm kiếm trên internet (trên các cổng 80 hoặc 8080) để tìm các bộ định tuyến TP-Link dễ bị tấn công, sau đó gửi mã khai thác được mã hóa cứng để tải xuống và thực thi tập lệnh shell từ xa để lây nhiễm một thiết bị dễ bị tổn thương. Giống như Mirai, Condi không được trang bị cơ chế bền bỉ để duy trì “sống sót” giữa các lần khởi động lại, vì vậy sau khi lây nhiễm, phần mềm độc hại sẽ cố gắng ngăn chặn việc khởi động lại hoặc tắt máy bằng cách xóa các tệp Linux được sử dụng trong các hoạt động khởi động lại và được lưu trữ trong /usr/sbin/ và /usr /bin/ thư mục.
Condi cũng được lập trình để “tìm kiếm và tiêu diệt” các tiến trình độc hại cạnh tranh đang chạy trong bộ nhớ, nhờ một trình quét processID dựa trên chuỗi. Theo FortiGuard, cơ chế này bị thiếu sót và không hoạt động như dự kiến. Các nhà nghiên cứu cũng đã tìm thấy các mẫu mới với các khả năng và tính năng khác nhau, đây có thể là kết quả trực tiếp của việc bọn tội phạm cạnh tranh mua mã nguồn Condi và điều chỉnh nó theo nhu cầu của chúng.
Condi rõ ràng là một mối đe dọa nguy hiểm khác đối với các thiết bị mạng TP-Link, nhưng những người dùng và tổ chức bị ảnh hưởng thực sự không có lời bào chữa nào ở đây. Công ty Trung Quốc đã sửa lỗ hổng CVE-2023-1389 vào tháng 3 và các phiên bản phần sụn cập nhật có thể được tải xuống từ chính TP-Link Trung tâm tải xuống.