Το κακόβουλο λογισμικό AVrecon Botnet επιτίθεται σε χιλιάδες δρομολογητές Linux

Το AVrecon είναι ένα κακόβουλο λογισμικό που βασίζεται σε Linux που προκαλεί σημαντικά προβλήματα από τον Μάιο του 2021. Έχει μολύνει πάνω από 70.000 δρομολογητές μικρών γραφείων/οικιακών γραφείων (SOHO), δημιουργώντας ένα botnet με σκοπό την κλοπή εύρους ζώνης και τη λειτουργία μιας κρυφής υπηρεσίας μεσολάβησης κατοικιών. Οι χειριστές του AVrecon έχουν επιστρατεύσει διάφορες κακόβουλες δραστηριότητες, που κυμαίνονται από απάτη ψηφιακής διαφήμισης έως ψεκασμό κωδικού πρόσβασης, εκμεταλλευόμενοι τις δυνατότητες του botnet.

Η ερευνητική ομάδα απειλών της Black Lotus Labs στο Lumen παρακολουθεί στενά τις δραστηριότητες της AVrecon. Ανακάλυψαν ότι, παρόλο που το trojan απομακρυσμένης πρόσβασης (RAT) παραβίασε περισσότερες από 70.000 συσκευές, μόνο 40.000 προστέθηκαν με επιτυχία στο botnet. Η AVrecon έχει επιδείξει μια αξιοσημείωτη ικανότητα να παραμένει απαρατήρητη από την αρχική της ταυτοποίηση τον Μάιο του 2021, στοχεύοντας συγκεκριμένα τους δρομολογητές Netgear. Κατάφερε να αποφύγει τον εντοπισμό για πάνω από δύο χρόνια, επεκτείνοντας σταθερά την επιρροή του και έγινε ένα από τα πιο σημαντικά botnet που επικεντρώθηκαν στους δρομολογητές SOHO τον τελευταίο καιρό.

Τι πιστεύουν οι ειδικοί για τους κινδύνους του κακόβουλου λογισμικού Botnet AVrecon

Οι ειδικοί στο Black Lotus Labs υποψιάζονται ότι οι παράγοντες απειλών πίσω από το AVrecon στόχευαν σκόπιμα συσκευές SOHO τις οποίες οι χρήστες θα ήταν λιγότερο πιθανό να επιδιορθώσουν έναντι γνωστών τρωτών σημείων και εκθέσεων (CVEs). Αντί να επιδιώκουν άμεσο οικονομικό κέρδος, οι χειριστές υιοθέτησαν μια προσέγγιση ασθενών, επιτρέποντάς τους να λειτουργούν κρυφά για μεγάλο χρονικό διάστημα. Λόγω της μυστικής φύσης του κακόβουλου λογισμικού, οι ιδιοκτήτες μολυσμένων μηχανημάτων σπάνια παρατηρούν τυχόν διακοπές στην υπηρεσία ή απώλεια εύρους ζώνης.

Μόλις ένας δρομολογητής μολυνθεί με το AVrecon, το κακόβουλο λογισμικό μεταδίδει τις πληροφορίες της παραβιασμένης συσκευής σε έναν διακομιστή εντολών και ελέγχου (C2) που είναι ενσωματωμένος σε αυτό. Ο διακομιστής δίνει οδηγίες στον παραβιασμένο δρομολογητή να δημιουργήσει επικοινωνία με μια ξεχωριστή ομάδα διακομιστών γνωστών ως διακομιστές C2 δεύτερου σταδίου. Οι ερευνητές εντόπισαν 15 τέτοιους διακομιστές ελέγχου δεύτερου σταδίου, οι οποίοι λειτουργούν τουλάχιστον από τον Οκτώβριο του 2021 με βάση τις πληροφορίες πιστοποιητικού x.509.

Ως απάντηση στην απειλή του AVrecon, η ομάδα ασφαλείας Black Lotus στο Lumen ανέλαβε δράση δρομολογώντας τον διακομιστή C2 του botnet στο βασικό δίκτυο. Αυτή η ενέργεια ουσιαστικά διέκοψε τη σύνδεση μεταξύ του κακόβουλου botnet και του κεντρικού διακομιστή ελέγχου του, παρεμποδίζοντας σημαντικά την ικανότητά του να εκτελεί επιβλαβείς δραστηριότητες. Η κρυπτογράφηση που χρησιμοποιήθηκε από το AVrecon εμπόδισε τους ερευνητές να δώσουν συγκεκριμένες λεπτομέρειες σχετικά με την επιτυχία των προσπαθειών ψεκασμού κωδικού πρόσβασης, αλλά η μηδενική δρομολόγηση των κόμβων C2 και ο αποκλεισμός της κυκλοφορίας μέσω των διακομιστών μεσολάβησης κατέστησαν το botnet αδρανές στη ραχοκοκαλιά του Lumen.

Το ζοφερό Outlook του κακόβουλου λογισμικού Botnet AVrecon

Αναγνωρίζοντας τη σοβαρότητα αυτής της απειλής, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA) εξέδωσε μια δεσμευτική επιχειρησιακή οδηγία (BOD) που δίνει εντολή στις ομοσπονδιακές υπηρεσίες των ΗΠΑ να προστατεύουν τον εξοπλισμό δικτύωσης που εκτίθεται στο Διαδίκτυο, συμπεριλαμβανομένων των δρομολογητών SOHO, εντός 14 ημερών από την ανακάλυψη για την αποτροπή πιθανών παραβιάσεων. Ο συμβιβασμός τέτοιων συσκευών θα παρείχε στους φορείς απειλής την ευκαιρία να ενσωματώσουν τους χακαρισμένους δρομολογητές στην υποδομή επίθεσης, χρησιμεύοντας ως σημείο εκκίνησης για πλευρική κίνηση σε εσωτερικά δίκτυα, όπως προειδοποίησε η CISA.

Ο κίνδυνος που θέτει το AVrecon πηγάζει από το γεγονός ότι οι δρομολογητές SOHO συνήθως υπάρχουν εκτός της συμβατικής περιμέτρου ασφαλείας, γεγονός που καθιστά δύσκολο για τους υπερασπιστές να ανιχνεύουν κακόβουλες δραστηριότητες. Αυτός ο τρόπος λειτουργίας αντικατοπτρίζει τις τακτικές που εφαρμόζει η κινεζική ομάδα κυβερνοκατασκοπείας γνωστή ως Volt Typhoon. Χρησιμοποίησαν παρόμοιες τεχνικές για να δημιουργήσουν ένα μυστικό δίκτυο μεσολάβησης χρησιμοποιώντας παραβιασμένο εξοπλισμό δικτύου SOHO από τις ASUS, Cisco, D-Link, Netgear, FatPipe και Zyxel. Το μυστικό δίκτυο μεσολάβησης χρησιμοποιήθηκε για την απόκρυψη κακόβουλων δραστηριοτήτων εντός της νόμιμης κυκλοφορίας δικτύου, ενώ στόχευε οργανισμούς υποδομής ζωτικής σημασίας στις Ηνωμένες Πολιτείες τουλάχιστον από τα μέσα του 2021.