Mais de 6.000 Roteadores Ainda Vulneráveis à medida que a Botnet Ballista se Expande

Um botnet recém-descoberto chamado Ballista está ativamente visando roteadores TP-Link Archer, explorando uma falha de segurança conhecida para se espalhar pela internet, de acordo com pesquisadores de cibersegurança na Cato Networks.

O botnet se aproveita de uma vulnerabilidade de firmware, rastreada como CVE-2023-1389, que permite aos invasores obter acesso remoto a roteadores TP-Link não corrigidos.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) já sinalizou a falha, instando as agências a corrigir seus dispositivos. Apesar disso, mais de 6.000 roteadores vulneráveis permanecem online, de acordo com uma pesquisa na plataforma de cibersegurança Censys.

A Cato Networks detectou pela primeira vez a campanha Ballista em 10 de janeiro, notando várias tentativas de infiltração, sendo a mais recente registrada em 17 de fevereiro.

O malware do botnet permite que os invasores executem comandos em dispositivos comprometidos, levantando preocupações de que seu criador – que se acredita estar baseado na Itália – possa ter objetivos maiores além das operações típicas de botnet.

“Suspeitamos que pegamos essa campanha em seus estágios iniciais”, disse Matan Mittelman, líder da equipe de prevenção de ameaças na Cato Networks, conforme relatado pelo The Record. “Vimos que estava evoluindo, pois em um curto espaço de tempo, o ator da ameaça alterou o dropper inicial para permitir conexões mais furtivas com o servidor C2 através da rede Tor”, acrescentou ele.

A Ballista já direcionou organizações em setores de manufatura, saúde, tecnologia e serviços nos EUA, Austrália, China e México. O malware assume completamente o controle dos roteadores infectados, lê seus arquivos de configuração e, em seguida, se espalha para outros dispositivos.

A equipe de segurança da Cato também encontrou evidências de que a botnet pode ser capaz de roubar dados. Embora o endereço IP original vinculado ao hacker não esteja mais ativo, os pesquisadores descobriram uma versão atualizada do malware no GitHub, indicando que a campanha de ataque está evoluindo.

Pesquisadores do Cato observaram que a campanha parece estar se tornando mais sofisticada. Embora o malware compartilhe algumas características com outros botnets, ele permanece distinto de redes conhecidas como Mirai e Mozi.

O alvo persistente dos roteadores de internet por hackers não é novidade. Especialistas afirmam que dispositivos IoT, como roteadores, são alvos principais devido a senhas fracas, manutenção inadequada e falta de atualizações automáticas de segurança.

Mittelman explicou que, ao longo dos anos, grandes botnets de IoT como Mirai e Mozi demonstraram como os roteadores podem ser explorados facilmente, e os atores de ameaças se aproveitaram disso.

Ele destacou dois fatores-chave que contribuíram para o problema: os usuários muitas vezes negligenciam a atualização do firmware de seus roteadores, e os fornecedores de roteadores geralmente falham em priorizar a segurança.

Os roteadores TP-Link têm sido uma preocupação de segurança recorrente. O Wall Street Journal recentemente relatou que agências dos EUA estão considerando proibi-los devido à exploração repetida por hackers chineses.