TP-Link Archer yönlendiricilerindeki bir uzaktan kod yürütme (RCE) kusurundan yararlanan yeni bir IoT botnet, Ocak ayından bu yana ABD kuruluşlarını hedefliyor ve binlerce internet bağlantılı cihaz hala risk altında.
Balista olarak adlandırılan ve İtalyan tehdit aktörlerinin çalışması olduğuna inanılan ortaya çıkan botnet’in haberi, ABD milletvekillerinin Çin hükümetiyle şüpheli bağlantıların endişeleri konusunda TP-bağlantı yönlendiricilerine bir yasakla geliyor.
Güvenlik firması Cato Networks’teki araştırmacılar, 10 Ocak’ta ilk tanımladıktan sonra Balista’yı izliyor ve IP adresi konumuna ve diğer ipuçlarına dayanarak İtalyan tehdit aktörlerine bağladılar. Birkaç hafta boyunca, araştırmacılar en son çabaların 17 Şubat’ta gerçekleşmesi ile birkaç ilk erişim denemesi tespit ettiler. Ancak, botnet’in hala aktif olduğuna inanıyorlar. Bir blog yazısında Salı günü yayınlandı ve imalat, tıbbi/sağlık, hizmetler ve teknoloji endüstrilerinde kuruluşları hedef aldı.
Cato Networks araştırmacıları Matan Mittelman ve Ofek Vardi, “İlk yük, kötü amaçlı yazılımları indiren bir kötü amaçlı yazılım damlası (özellikle bir Bash komut dosyası) içeriyor. Saldırganlar tarafından sömürülen kusur, komuta enjeksiyon güvenlik açığı CVE-2023-1389Mart 2023’te ilk olarak açıklandı ve yamalı.
Tehdit Önleme Ekibi Lideri, Cato Networks ‘Mittelman, Balista’nın hedeflediği kuruluşların yüzde otuz üçünün ABD’de bulunduğunu söyledi. Botnet’in aktif olduğu diğer ülkeler arasında Avustralya, Çin ve Meksika bulunmaktadır.
Güvenlik uzmanları, Balista Botnet’in ortaya çıkmasının, TP bağlantısı cihazlarını hain amaçlar için kötüye kullandığını söyledi. Güvenlik firması Bambenek Consulting başkanı John Bambenek, bu, şirketin ağlarındaki cihazlarına sahip kuruluşların planlanmamış teknoloji göçlerini planlamasını gerektirebilir.
“Değişiklikler yapmak için yüklenicilere çok fazla zaman verilmeyebilir ve bu cihazlar genellikle çekirdek ağ ekipmanıdır. [making it] Toptan takas yapmak için acı verici, “dedi siber güvenlik dalışına e-posta yoluyla.
TP-Link Yönlendiricileri Yasağı Yakın mı?
Kongre, TP-Link’ten gelenler gibi Çin yapımı yönlendiricilere yasaklanıyor ve milletvekilleri geçen hafta çağırıyor bir toplantıda Temsilciler Meclisi’nin ABD’deki insanların onları evlerinden çıkarması gerektiğine dair Seçim Komitesi.
Komite’den önce tanıklık, Ulusal Güvenlik İdaresi (NSA) Siber Güvenlik Eski Müdürü Rob Joyce, Çin’i ABD’deki yönlendiricilerin TP-Link’i kendi hain amaçları için pazar payının zirvesine kaydetmesi için pazarın altını çizmekle suçladı.
Şirketten yönlendiricileri kullanan Çin ulus-devlet tehdit gruplarının Volt Typhoon, Salt Typhoon ve Keten Typhoon’un kanıtı belgelenmiş saldırıları olarak belirtti. Botnet Oluştur Bize kritik altyapıya sızmak için, TP-Link’in ayak izinin ABD’deki ayak izinin ortadan kaldırılmasını “altyapımızda diğer PRC yeteneklerinin etkin olmamasını” sağladı.
Bir TP-bağlantısı yöneticisi, şirketin teknolojisinin bu tasvirini geri itti ve şirketin etiğini savundu. TP-Link Systems Inc. başkanı Jeff Barney, “Duruşmadaki tanıklar, TP-Link’in Çin hükümetiyle bağlantılı olduğuna dair bir kanıt sunmadı ve biz değiliz” dedi. bir açıklamada.
Bununla birlikte, ABD’li milletvekillerinin TP-Link yönlendiricileri hakkındaki endişesi, Çinli bilgisayar korsanlarının geçmişte şirketin botnet kampanyaları ve diğer kötü niyetli amaçlar için cihazlarını kaçırdığı için belgelenmiş araştırmalarla desteklenmektedir. Demokrasiler Savunma Vakfı’na göre (FDD)Washington, DC merkezli bir Araştırma Enstitüsü.