El malware AVrecon Botnet ataca miles de enrutadores Linux

AVrecon es un malware basado en Linux que ha estado causando problemas importantes desde mayo de 2021. Ha infectado más de 70 000 enrutadores de oficinas pequeñas/oficinas domésticas (SOHO), creando una botnet con el propósito de robar ancho de banda y operar un servicio de proxy residencial oculto. Los operadores de AVrecon han empleado varias actividades maliciosas, que van desde el fraude publicitario digital hasta la difusión de contraseñas, aprovechando las capacidades de la botnet.

El equipo de investigación de amenazas de Black Lotus Labs en Lumen ha estado monitoreando de cerca las actividades de AVrecon. Descubrieron que aunque el troyano de acceso remoto (RAT) comprometió más de 70 000 dispositivos, solo 40 000 se agregaron con éxito a la botnet. AVrecon ha demostrado una notable capacidad para pasar desapercibido desde su identificación inicial en mayo de 2021, apuntando específicamente a los enrutadores Netgear. Se las arregló para evitar la detección durante más de dos años, expandiendo constantemente su influencia y convirtiéndose en una de las redes de bots más importantes centradas en los enrutadores SOHO en los últimos tiempos.

Lo que piensan los expertos sobre los peligros del malware AVrecon Botnet

Los expertos de Black Lotus Labs sospechan que los actores de amenazas detrás de AVrecon apuntaron intencionalmente a dispositivos SOHO que los usuarios tendrían menos probabilidades de parchear contra vulnerabilidades y exposiciones conocidas (CVE). En lugar de buscar ganancias financieras inmediatas, los operadores adoptaron un enfoque paciente, lo que les permitió operar de forma encubierta durante un período prolongado. Debido a la naturaleza clandestina del malware, los propietarios de las máquinas infectadas rara vez notan interrupciones en el servicio o pérdida de ancho de banda.

Una vez que un enrutador se infecta con AVrecon, el malware transmite la información del dispositivo comprometido a un servidor de comando y control (C2) integrado en él. El servidor le indica al enrutador pirateado que establezca comunicación con un grupo separado de servidores conocidos como servidores C2 de segunda etapa. Los investigadores han identificado 15 de estos servidores de control de segunda etapa, que han estado operativos desde al menos octubre de 2021 según la información del certificado x.509.

En respuesta a la amenaza de AVrecon, el equipo de seguridad de Black Lotus en Lumen tomó medidas mediante el enrutamiento nulo del servidor C2 de la botnet a través de su red troncal. Esta acción cortó efectivamente la conexión entre la botnet maliciosa y su servidor de control central, lo que impidió significativamente su capacidad para llevar a cabo actividades dañinas. El cifrado empleado por AVrecon impidió que los investigadores proporcionaran detalles específicos sobre el éxito de los intentos de rociado de contraseñas, pero el enrutamiento nulo de los nodos C2 y el bloqueo del tráfico a través de los servidores proxy hicieron que la botnet quedara inerte en la red troncal de Lumen.

La sombría perspectiva del malware AVrecon Botnet

Reconociendo la gravedad de esta amenaza, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió una directiva operativa vinculante (BOD) que instruye a las agencias federales de EE. UU. a proteger los equipos de red expuestos a Internet, incluidos los enrutadores SOHO, dentro de los 14 días posteriores al descubrimiento para evitar posibles infracciones. Comprometer dichos dispositivos brindaría a los actores de amenazas la oportunidad de incorporar los enrutadores pirateados en su infraestructura de ataque, sirviendo como plataforma de lanzamiento para el movimiento lateral hacia las redes internas, como advirtió CISA.

El peligro que representa AVrecon se deriva del hecho de que los enrutadores SOHO generalmente existen fuera del perímetro de seguridad convencional, lo que dificulta que los defensores detecten actividades maliciosas. Este modus operandi refleja las tácticas empleadas por el grupo de ciberespionaje chino conocido como Volt Typhoon. Usaron técnicas similares para crear una red proxy encubierta utilizando equipos de red SOHO comprometidos de ASUS, Cisco, D-Link, Netgear, FatPipe y Zyxel. La red de proxy encubierta se usó para ocultar actividades maliciosas dentro del tráfico de red legítimo mientras se dirigía a organizaciones de infraestructura crítica en los Estados Unidos desde al menos mediados de 2021.