AVrecon-Botnet-Malware greift Tausende Linux-Router an

AVrecon ist eine Linux-basierte Malware, die seit Mai 2021 erhebliche Probleme verursacht. Sie hat über 70.000 Router für kleine Büros/Heimbüros (SOHO) infiziert und ein Botnetz mit dem Ziel erstellt, Bandbreite zu stehlen und einen versteckten Proxy-Dienst für Privathaushalte zu betreiben. Die Betreiber von AVrecon haben verschiedene böswillige Aktivitäten eingesetzt, die vom digitalen Werbebetrug bis zum Passwort-Spraying reichten, und dabei die Fähigkeiten des Botnetzes ausgenutzt.

Das Bedrohungsforschungsteam von Black Lotus Labs bei Lumen hat die Aktivitäten von AVrecon genau beobachtet. Sie stellten fest, dass der Fernzugriffstrojaner (RAT) zwar über 70.000 Geräte kompromittiert hatte, aber nur 40.000 erfolgreich zum Botnetz hinzugefügt wurden. AVrecon hat seit seiner ersten Identifizierung im Mai 2021 eine bemerkenswerte Fähigkeit bewiesen, unentdeckt zu bleiben, insbesondere bei der Bekämpfung von Netgear-Routern. Es gelang ihm, mehr als zwei Jahre lang einer Entdeckung zu entgehen, seinen Einfluss stetig auszuweiten und sich in jüngster Zeit zu einem der bedeutendsten Botnetze mit Fokus auf SOHO-Router zu entwickeln.

Was Experten über die Gefahren von AVrecon-Botnet-Malware denken

Die Experten von Black Lotus Labs vermuten, dass die Bedrohungsakteure hinter AVrecon absichtlich SOHO-Geräte ins Visier genommen haben, bei denen es weniger wahrscheinlich ist, dass Benutzer Patches gegen bekannte Schwachstellen und Gefährdungen (CVEs) patchen. Anstatt einen unmittelbaren finanziellen Gewinn anzustreben, verfolgten die Betreiber einen geduldigen Ansatz, der es ihnen ermöglichte, über einen längeren Zeitraum im Verborgenen zu operieren. Aufgrund der geheimen Natur der Malware bemerken Besitzer infizierter Maschinen selten Dienstunterbrechungen oder Bandbreitenverluste.

Sobald ein Router mit AVrecon infiziert wird, überträgt die Malware die Informationen des gefährdeten Geräts an einen darin eingebetteten Command-and-Control-Server (C2). Der Server weist den gehackten Router an, eine Kommunikation mit einer separaten Gruppe von Servern herzustellen, die als C2-Server der zweiten Stufe bezeichnet werden. Forscher haben anhand von x.509-Zertifikatinformationen 15 solcher Kontrollserver der zweiten Stufe identifiziert, die seit mindestens Oktober 2021 betriebsbereit sind.

Als Reaktion auf die AVrecon-Bedrohung ergriff das Black Lotus-Sicherheitsteam von Lumen Maßnahmen, indem es den C2-Server des Botnetzes über sein Backbone-Netzwerk auf Null umleitete. Durch diese Aktion wurde die Verbindung zwischen dem bösartigen Botnetz und seinem zentralen Kontrollserver effektiv unterbrochen, wodurch seine Fähigkeit, schädliche Aktivitäten auszuführen, erheblich beeinträchtigt wurde. Die von AVrecon eingesetzte Verschlüsselung hinderte die Forscher daran, konkrete Angaben zum Erfolg von Passwort-Spraying-Versuchen zu machen, aber das Null-Routing der C2-Knoten und die Blockierung des Datenverkehrs über die Proxy-Server machten das Botnetz im gesamten Lumen-Backbone wirkungslos.

Die düsteren Aussichten der AVrecon-Botnet-Malware

Angesichts der Schwere dieser Bedrohung hat die Cybersecurity and Infrastructure Security Agency (CISA) eine verbindliche operative Richtlinie (BOD) herausgegeben, in der die US-Bundesbehörden angewiesen werden, dem Internet ausgesetzte Netzwerkgeräte, einschließlich SOHO-Routern, innerhalb von 14 Tagen nach Entdeckung zu sichern, um potenzielle Verstöße zu verhindern. Die Kompromittierung solcher Geräte würde Bedrohungsakteuren die Möglichkeit bieten, die gehackten Router in ihre Angriffsinfrastruktur einzubinden und als Startrampe für laterale Bewegungen in interne Netzwerke zu dienen, wie CISA warnt.

Die von AVrecon ausgehende Gefahr ergibt sich aus der Tatsache, dass sich SOHO-Router typischerweise außerhalb des herkömmlichen Sicherheitsbereichs befinden, was es für Verteidiger schwierig macht, bösartige Aktivitäten zu erkennen. Diese Vorgehensweise spiegelt die Taktik der chinesischen Cyberspionagegruppe Volt Typhoon wider. Sie verwendeten ähnliche Techniken, um ein verdecktes Proxy-Netzwerk mit kompromittierter SOHO-Netzwerkausrüstung von ASUS, Cisco, D-Link, Netgear, FatPipe und Zyxel zu erstellen. Das verdeckte Proxy-Netzwerk wurde mindestens seit Mitte 2021 verwendet, um böswillige Aktivitäten im legitimen Netzwerkverkehr zu verbergen und gleichzeitig kritische Infrastrukturorganisationen in den Vereinigten Staaten ins Visier zu nehmen.