Chaos déchaîné : le logiciel malveillant Condi prend le contrôle des routeurs Wi-Fi TP-Link pour des attaques dévastatrices de botnet DDoS

Un logiciel malveillant récemment découvert, Condi, est devenu une menace importante, exploitant une vulnérabilité de sécurité dans les routeurs Wi-Fi TP-Link Archer AX21 (AX1800). Son objectif principal est d'exploiter ces appareils compromis, en les assemblant dans un puissant botnet de déni de service distribué (DDoS). Les chercheurs ont noté une forte augmentation de l'intensité de la campagne depuis la fin de mai 2023.

Qui est derrière Condi ?

Le cerveau derrière Condi est un individu connu sous le surnom en ligne zxcr9999 , qui promeut activement ses activités illicites via la chaîne Telegram Condi Network. À partir de mai 2022, l'acteur de la menace a monétisé son botnet en proposant DDoS-as-a-service et même en vendant le code source du malware. Les chercheurs en sécurité ont analysé en profondeur le logiciel malveillant, découvrant sa capacité à éliminer les botnets concurrents sur le même hôte. Cependant, Condi ne dispose pas d'un mécanisme de persistance, ce qui le rend incapable de survivre à un redémarrage du système.

Pour surmonter la limitation de la persistance après un redémarrage du système, Condi prend des mesures en supprimant plusieurs fichiers binaires responsables de l'arrêt ou du redémarrage du système. Ces binaires incluent /usr/sbin/reboot, /usr/bin/reboot, /usr/sbin/shutdown, /usr/bin/shutdown, /usr/sbin/poweroff, /usr/bin/poweroff, /usr/sbin/ halt et /usr/bin/halt. Il convient de noter que le botnet Mirai exploitait auparavant la vulnérabilité ciblée.

Contrairement à d'autres logiciels malveillants répandus, Condi utilise un module de scanner pour identifier les routeurs TP-Link Archer AX21 vulnérables à CVE-2023-1389 (score CVSS : 8,8). Au lieu d'employer des attaques par force brute comme certains botnets, Condi exécute un script shell obtenu à partir d'un serveur distant pour déposer le malware sur les appareils identifiés.

Selon les analystes en sécurité, plusieurs instances de Condi sont apparues, exploitant diverses vulnérabilités de sécurité connues pour se propager. Cela indique que les appareils exécutant des logiciels non corrigés sont particulièrement susceptibles d'être ciblés par ce malware botnet. Outre ses tactiques de monétisation agressives, l'objectif principal de Condi est de compromettre les appareils et d'établir un formidable botnet DDoS. Ce botnet peut ensuite être loué à d'autres acteurs de la menace, leur permettant de lancer des attaques d'inondation TCP et UDP sur des sites Web et des services ciblés.

La neutralisation des botnets est primordiale pour maintenir un écosystème numérique sécurisé et stable. Les botnets, tels que le malware Condi, peuvent exploiter les vulnérabilités des logiciels non corrigés et exploiter un réseau d'appareils compromis pour des activités nuisibles, telles que les attaques DDoS. Ces attaques perturbent les services en ligne et menacent considérablement l'intégrité et la disponibilité des infrastructures critiques. Les particuliers, les organisations et les professionnels de la sécurité doivent rester vigilants, maintenir les logiciels à jour et appliquer des mesures de sécurité robustes pour détecter et atténuer les menaces de botnet. En neutralisant activement les botnets, nous pouvons protéger nos environnements numériques et contribuer à un paysage en ligne plus sûr pour tous les utilisateurs.