Il malware botnet AVrecon attacca migliaia di router Linux

AVrecon è un malware basato su Linux che ha causato problemi significativi dal maggio 2021. Ha infettato oltre 70.000 router SOHO (small office/home office), creando una botnet con lo scopo di rubare larghezza di banda e gestendo un servizio proxy residenziale nascosto. Gli operatori di AVrecon hanno impiegato varie attività dannose, che vanno dalla frode pubblicitaria digitale alla spruzzatura di password, sfruttando le capacità della botnet.

Il team di ricerca sulle minacce dei Black Lotus Labs presso Lumen ha monitorato attentamente le attività di AVrecon. Hanno scoperto che sebbene il trojan di accesso remoto (RAT) abbia compromesso oltre 70.000 dispositivi, solo 40.000 sono stati aggiunti con successo alla botnet. AVrecon ha dimostrato una notevole capacità di non essere rilevato sin dalla sua identificazione iniziale nel maggio 2021, prendendo di mira in particolare i router Netgear. È riuscita a evitare il rilevamento per oltre due anni, espandendo costantemente la sua influenza e diventando una delle botnet più significative focalizzate sui router SOHO negli ultimi tempi.

Cosa pensano gli esperti sui pericoli del malware botnet AVrecon

Gli esperti di Black Lotus Labs sospettano che gli attori delle minacce dietro AVrecon abbiano preso di mira intenzionalmente i dispositivi SOHO che gli utenti avrebbero meno probabilità di correggere contro vulnerabilità ed esposizioni note (CVE). Invece di perseguire un guadagno finanziario immediato, gli operatori hanno adottato un approccio paziente, consentendo loro di operare di nascosto per un periodo prolungato. A causa della natura clandestina del malware, i proprietari di macchine infette raramente notano interruzioni del servizio o perdita di larghezza di banda.

Una volta che un router viene infettato da AVrecon, il malware trasmette le informazioni del dispositivo compromesso a un server di comando e controllo (C2) incorporato al suo interno. Il server ordina al router compromesso di stabilire la comunicazione con un gruppo separato di server noti come server C2 di secondo stadio. I ricercatori hanno identificato 15 di questi server di controllo di seconda fase, che sono operativi almeno dall'ottobre 2021 sulla base delle informazioni del certificato x.509.

In risposta alla minaccia AVrecon, il team di sicurezza Black Lotus di Lumen è intervenuto eseguendo il null-routing del server C2 della botnet attraverso la propria rete backbone. Questa azione ha effettivamente interrotto la connessione tra la botnet dannosa e il suo server di controllo centrale, impedendo in modo significativo la sua capacità di svolgere attività dannose. La crittografia utilizzata da AVrecon ha impedito ai ricercatori di fornire dettagli specifici sul successo dei tentativi di password spraying, ma l'instradamento nullo dei nodi C2 e il blocco del traffico attraverso i server proxy hanno reso la botnet inerte lungo la dorsale Lumen.

Le cupe prospettive del malware botnet AVrecon

Riconoscendo la gravità di questa minaccia, la Cybersecurity and Infrastructure Security Agency (CISA) ha emesso una direttiva operativa vincolante (BOD) che ordina alle agenzie federali statunitensi di proteggere le apparecchiature di rete esposte a Internet, inclusi i router SOHO, entro 14 giorni dalla scoperta per prevenire potenziali violazioni. La compromissione di tali dispositivi fornirebbe agli attori delle minacce l'opportunità di incorporare i router compromessi nella loro infrastruttura di attacco, fungendo da trampolino di lancio per il movimento laterale nelle reti interne, come avvertito dalla CISA.

Il pericolo rappresentato da AVrecon deriva dal fatto che i router SOHO in genere esistono al di fuori del perimetro di sicurezza convenzionale, rendendo difficile per i difensori rilevare attività dannose. Questo modus operandi rispecchia le tattiche impiegate dal gruppo di spionaggio informatico cinese noto come Volt Typhoon. Hanno utilizzato tecniche simili per creare una rete proxy nascosta utilizzando apparecchiature di rete SOHO compromesse di ASUS, Cisco, D-Link, Netgear, FatPipe e Zyxel. La rete proxy segreta è stata utilizzata per nascondere attività dannose all'interno del traffico di rete legittimo, prendendo di mira le organizzazioni di infrastrutture critiche negli Stati Uniti almeno dalla metà del 2021.