„AVrecon Botnet“ kenkėjiška programa užpuola tūkstančius „Linux“ maršrutizatorių

„AVrecon“ yra „Linux“ pagrindu veikianti kenkėjiška programa, kuri kelia didelių problemų nuo 2021 m. gegužės mėn. Ji užkrėtė daugiau nei 70 000 mažų biurų / namų biurų (SOHO) maršrutizatorių, sukurdama robotų tinklą, kurio tikslas pavogti pralaidumą ir valdyti paslėptą tarpinio serverio paslaugą. „AVrecon“ operatoriai pasinaudojo įvairia kenkėjiška veikla – nuo skaitmeninės reklamos sukčiavimo iki slaptažodžių išpurškimo, pasinaudodami botneto galimybėmis.

„Lumen“ „Black Lotus Labs“ grėsmių tyrimų komanda atidžiai stebėjo „AVrecon“ veiklą. Jie išsiaiškino, kad nors nuotolinės prieigos Trojos arklys (RAT) pakenkė daugiau nei 70 000 įrenginių, tik 40 000 buvo sėkmingai įtraukti į robotų tinklą. „AVrecon“ pademonstravo puikų sugebėjimą likti nepastebėtam nuo pat pradinio identifikavimo 2021 m. gegužės mėn., ypač taikydamas „Netgear“ maršrutizatorius. Jai pavyko išvengti aptikimo daugiau nei dvejus metus, nuolat plečiant savo įtaką ir pastaruoju metu tampant vienu reikšmingiausių robotų tinklų, orientuotų į SOHO maršrutizatorius.

Ką ekspertai mano apie „AVrecon Botnet“ kenkėjiškų programų pavojus

„Black Lotus Labs“ ekspertai įtaria, kad „AVrecon“ grėsmės veikėjai tyčia nusitaikė į SOHO įrenginius, kuriuos vartotojai būtų mažiau linkę pataisyti nuo žinomų pažeidžiamumų ir poveikio (CVE). Užuot siekę tiesioginės finansinės naudos, operatoriai pasirinko kantrybės požiūrį, leidžiantį ilgą laiką dirbti slaptai. Dėl to, kad kenkėjiška programa yra slapta, užkrėstų mašinų savininkai retai pastebi paslaugų sutrikimus ar pralaidumo praradimą.

Kai maršrutizatorius užsikrečia AVrecon, kenkėjiška programa perduoda pažeisto įrenginio informaciją į jame įterptą komandų ir valdymo (C2) serverį. Serveris nurodo nulaužtam maršruto parinktuvui užmegzti ryšį su atskira serverių grupe, žinoma kaip antrosios pakopos C2 serveriai. Remiantis x.509 sertifikato informacija, mokslininkai nustatė 15 tokių antros pakopos valdymo serverių, kurie veikė mažiausiai nuo 2021 m. spalio mėn.

Reaguodama į „AVrecon“ grėsmę, „Lumen“ „Black Lotus“ saugos komanda ėmėsi veiksmų, nukreipdama botneto C2 serverį per pagrindinį tinklą. Šis veiksmas veiksmingai nutraukė ryšį tarp kenkėjiško botneto ir jo centrinio valdymo serverio, smarkiai apsunkindamas jo galimybes vykdyti žalingą veiklą. AVrecon naudojamas šifravimas neleido tyrėjams pateikti konkrečios informacijos apie slaptažodžio išpurškimo bandymų sėkmę, tačiau nulinis C2 mazgų nukreipimas ir srauto blokavimas per tarpinius serverius padarė botnetą inertišką per Lumen pagrindą.

Liūdna „AVrecon Botnet“ kenkėjiškos programos perspektyva

Pripažindama šios grėsmės rimtumą, Kibernetinio saugumo ir infrastruktūros saugumo agentūra (CISA) išleido įpareigojančią veiklos direktyvą (BOD), kuria JAV federalinėms agentūroms nurodoma apsaugoti internete veikiančią tinklo įrangą, įskaitant SOHO maršrutizatorius, per 14 dienų nuo aptikimo, kad būtų išvengta galimų pažeidimų. Tokių įrenginių sukompromitavimas suteiktų grėsmės veikėjams galimybę įtraukti nulaužtus maršrutizatorius į savo atakų infrastruktūrą, kuri veiktų kaip paleidimo aikštelė šoniniam judėjimui į vidinius tinklus, kaip įspėjo CISA.

AVrecon keliamas pavojus kyla dėl to, kad SOHO maršrutizatoriai paprastai egzistuoja už įprasto saugumo perimetro, todėl gynėjams sunku aptikti kenkėjišką veiklą. Šis modus operandi atspindi Kinijos kibernetinio šnipinėjimo grupės, žinomos kaip Volt Typhoon, taktiką. Jie naudojo panašius metodus, kad sukurtų paslėptą tarpinio serverio tinklą, naudodami pažeistą SOHO tinklo įrangą iš ASUS, Cisco, D-Link, Netgear, FatPipe ir Zyxel. Slaptas tarpinio serverio tinklas buvo naudojamas siekiant nuslėpti kenkėjišką veiklą teisėtame tinklo sraute ir nukreiptas į ypatingos svarbos infrastruktūros organizacijas Jungtinėse Valstijose bent nuo 2021 m. vidurio.