Az AVrecon Botnet rosszindulatú programja Linuxos útválasztók ezreit támadja meg

Az AVrecon egy Linux-alapú rosszindulatú program, amely 2021 májusa óta okoz jelentős problémákat. Több mint 70 000 kis irodai/otthoni irodai (SOHO) routert fertőzött meg, botnetet hozva létre azzal a céllal, hogy ellopja a sávszélességet, és rejtett lakossági proxy szolgáltatást üzemeltet. Az AVrecon üzemeltetői a botnet lehetőségeit kihasználva különféle rosszindulatú tevékenységeket alkalmaztak, a digitális reklámcsalástól a jelszószórásig.

A Lumen Black Lotus Labs fenyegetésekkel foglalkozó kutatócsoportja szorosan figyelemmel kísérte az AVrecon tevékenységét. Felfedezték, hogy bár a távoli hozzáférésű trójai (RAT) több mint 70 000 eszközt veszélyeztetett, csak 40 000-et sikerült sikeresen hozzáadni a botnethez. Az AVrecon 2021 májusában történt első azonosítása óta figyelemreméltó képességet mutatott, hogy észrevétlen marad, különösen a Netgear útválasztókat célozva. Több mint két évig sikerült elkerülnie az észlelést, folyamatosan bővítve befolyását, és az utóbbi idők egyik legjelentősebb SOHO útválasztókra összpontosító botnetjévé vált.

Mit gondolnak a szakértők az AVrecon Botnet malware veszélyeiről?

A Black Lotus Labs szakértői azt gyanítják, hogy az AVrecon mögött álló fenyegetés szereplői szándékosan olyan SOHO-eszközöket vettek célba, amelyeket a felhasználók kevésbé lennének javítva az ismert sebezhetőségek és kitettségek (CVE-k) ellen. Ahelyett, hogy azonnali anyagi haszonszerzésre törekedtek volna, az operátorok türelmes megközelítést alkalmaztak, lehetővé téve számukra, hogy hosszabb ideig, rejtetten működjenek. A rosszindulatú program titkos jellege miatt a fertőzött gépek tulajdonosai ritkán észlelnek szolgáltatási zavarokat vagy sávszélesség-csökkenést.

Amint egy útválasztó megfertőződik az AVreconnal, a rosszindulatú program továbbítja a feltört eszköz információit a beágyazott parancs-és vezérlő (C2) szervernek. A szerver utasítja a feltört útválasztót, hogy létesítsen kommunikációt a kiszolgálók egy külön csoportjával, másodlagos C2 szerverként. A kutatók 15 ilyen második szintű vezérlőszervert azonosítottak, amelyek legalább 2021 októbere óta működnek az x.509 tanúsítvány információi alapján.

Az AVrecon fenyegetésére válaszul a Lumen Black Lotus biztonsági csapata a botnet C2 szerverének null-routálásával lépett fel a gerinchálózaton keresztül. Ez a művelet hatékonyan megszakította a kapcsolatot a rosszindulatú botnet és a központi vezérlőszerver között, jelentősen akadályozva a káros tevékenységek végrehajtását. Az AVrecon által alkalmazott titkosítás megakadályozta a kutatókat abban, hogy konkrét részletekkel szolgáljanak a jelszószórással kapcsolatos kísérletek sikeréről, de a C2 csomópontok nullázása és a proxyszervereken keresztüli forgalom blokkolása inertté tette a botnetet a Lumen gerincén.

Az AVrecon Botnet rosszindulatú program sivár kilátásai

Felismerve e fenyegetés súlyosságát, a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) kötelező érvényű működési irányelvet (BOD) adott ki, amelyben utasította az Egyesült Államok szövetségi ügynökségeit, hogy a felfedezést követő 14 napon belül biztonságossá tegyék az internetnek kitett hálózati berendezéseket, beleértve a SOHO útválasztókat is, hogy megakadályozzák az esetleges jogsértéseket. Az ilyen eszközök kompromittálása lehetőséget adna a fenyegetés szereplőinek arra, hogy a feltört útválasztókat beépítsék támadási infrastruktúrájukba, indítópultként szolgálva a belső hálózatokba történő oldalirányú mozgáshoz, amint arra a CISA figyelmeztet.

Az AVrecon által jelentett veszély abból a tényből fakad, hogy a SOHO routerek jellemzően a hagyományos biztonsági övezeten kívül találhatók, így a védők számára kihívást jelent a rosszindulatú tevékenységek észlelése. Ez a modus operandi a Volt Typhoon néven ismert kínai kiberkémcsoport taktikáját tükrözi. Hasonló technikákat alkalmaztak egy rejtett proxy hálózat létrehozására az ASUS, a Cisco, a D-Link, a Netgear, a FatPipe és a Zyxel kompromittált SOHO hálózati eszközeivel. A titkos proxyhálózatot legalább 2021 közepe óta használták a rosszindulatú tevékenységek elrejtésére a legitim hálózati forgalomban, miközben az Egyesült Államok kritikus infrastrukturális szervezeteit célozták meg.