Botnet Ballista
Une nouvelle campagne de botnet baptisée Ballista a été identifiée, ciblant explicitement les routeurs TP-Link Archer non corrigés. Des chercheurs en cybersécurité ont découvert que le botnet exploite une vulnérabilité d'exécution de code à distance (RCE) – CVE-2023-1389 – pour se propager sur Internet. Cette faille de haute gravité affecte les routeurs TP-Link Archer AX-21, permettant aux attaquants d'exécuter des commandes à distance et de prendre le contrôle de l'appareil.
Table des matières
Une chronologie de l'exploitation
Les preuves d'exploitation active remontent à avril 2023, lorsque des acteurs malveillants inconnus ont exploité la vulnérabilité pour la première fois afin de diffuser le malware Mirai . Depuis, elle a été exploitée pour propager d'autres souches de malwares, notamment Condi et AndroxGh0st , augmentant encore sa portée et son impact.
Comment fonctionne l'attaque
La séquence d'attaque commence par un injecteur de malware – un script shell nommé « dropbpb.sh » – qui télécharge et exécute un binaire malveillant sur les routeurs ciblés. Ce malware est conçu pour fonctionner sur plusieurs architectures système, notamment MIPS, mipsel, armv5l, armv7l et x86_64. Une fois installé, il établit un canal de commande et de contrôle (C2) chiffré sur le port 82, permettant aux attaquants de contrôler à distance l'appareil infecté.
Capacités du botnet Ballista
Une fois à l'intérieur d'un système, Ballista permet aux attaquants d'exécuter une gamme de commandes, notamment :
- Flooder – Lance une attaque par déni de service (DoS) basée sur un flood.
- Exploiter – Exploite CVE-2023-1389 pour infecter des routeurs supplémentaires.
- Démarrer – Lance le module d’exploitation.
- Fermer – Arrête le module d’exploitation.
- Shell – Exécute les commandes shell Linux sur le système infecté.
- Killall – Met fin au service anti-malware en cours d’exécution.
De plus, le logiciel malveillant peut effacer les traces de sa propre présence et se propager de manière autonome en recherchant et en exploitant les appareils vulnérables.
Signes d'une connexion italienne
Une analyse de l'infrastructure de Ballista révèle un lien avec l'Italie. Les binaires du malware contiennent des chaînes en italien, et le serveur C2 initial était hébergé à l'adresse IP italienne 2.237.57.70. Cependant, le malware semble être en développement continu, les nouvelles versions utilisant désormais des domaines réseau TOR au lieu d'adresses IP codées en dur.
Impact mondial : des milliers de routeurs en danger
Une recherche ciblée suggère que plus de 6 000 appareils ont déjà été infectés par Ballista. Les régions les plus vulnérables sont le Brésil, la Pologne, le Royaume-Uni, la Bulgarie et la Turquie. Compte tenu de son évolution rapide, ce botnet demeure une menace importante pour les routeurs non corrigés du monde entier.
