Złośliwe oprogramowanie AVrecon Botnet atakuje tysiące routerów z systemem Linux

AVrecon to złośliwe oprogramowanie oparte na systemie Linux, które powoduje poważne problemy od maja 2021 r. Zainfekowało ponad 70 000 routerów w małych biurach/domowych biurach (SOHO), tworząc botnet w celu kradzieży przepustowości i obsługi ukrytej domowej usługi proxy. Operatorzy AVrecon stosowali różne złośliwe działania, od oszustw związanych z reklamą cyfrową po rozpylanie haseł, wykorzystując możliwości botnetu.

Zespół badawczy Black Lotus Labs w firmie Lumen uważnie monitoruje działania AVrecon. Odkryli, że chociaż trojan zdalnego dostępu (RAT) zaatakował ponad 70 000 urządzeń, tylko 40 000 zostało pomyślnie dodanych do botnetu. AVrecon wykazał się niezwykłą zdolnością do pozostania niewykrytym od czasu swojej pierwszej identyfikacji w maju 2021 r., w szczególności atakując routery Netgear. Udało mu się uniknąć wykrycia przez ponad dwa lata, stale zwiększając swoje wpływy i stając się w ostatnim czasie jednym z najbardziej znaczących botnetów skupiających się na routerach SOHO.

Co eksperci myślą o zagrożeniach związanych ze złośliwym oprogramowaniem AVrecon Botnet

Eksperci z Black Lotus Labs podejrzewają, że cyberprzestępcy stojący za AVrecon celowo celowali w urządzenia SOHO, których użytkownicy byliby mniej skłonni do łatania znanych luk i zagrożeń (CVE). Zamiast dążyć do natychmiastowego zysku finansowego, operatorzy przyjęli cierpliwe podejście, pozwalając im działać w ukryciu przez dłuższy czas. Ze względu na ukrytą naturę szkodliwego oprogramowania, właściciele zainfekowanych maszyn rzadko zauważają zakłócenia w działaniu usługi lub utratę przepustowości.

Gdy router zostanie zainfekowany przez AVrecon, złośliwe oprogramowanie przesyła informacje o zaatakowanym urządzeniu do osadzonego w nim serwera dowodzenia i kontroli (C2). Serwer instruuje zhakowany router, aby nawiązał komunikację z oddzielną grupą serwerów zwaną serwerami drugiego stopnia C2. Naukowcy zidentyfikowali 15 takich serwerów kontrolnych drugiego stopnia, które działają co najmniej od października 2021 r. na podstawie informacji o certyfikacie x.509.

W odpowiedzi na zagrożenie ze strony AVrecon zespół ds. bezpieczeństwa Black Lotus w firmie Lumen podjął działania polegające na przekierowaniu serwera C2 botnetu na serwer botnetu w swojej sieci szkieletowej. Działanie to skutecznie zerwało połączenie między złośliwym botnetem a jego centralnym serwerem kontrolnym, znacząco utrudniając jego zdolność do wykonywania szkodliwych działań. Szyfrowanie zastosowane przez AVrecon uniemożliwiło naukowcom podanie szczegółowych informacji na temat powodzenia prób spryskiwania hasłami, ale zerowe przekierowywanie węzłów C2 i blokowanie ruchu przez serwery proxy sprawiło, że botnet stał się obojętny w całym szkielecie Lumen.

Ponure perspektywy złośliwego oprogramowania AVrecon Botnet

Uznając powagę tego zagrożenia, Agencja ds. Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) wydała wiążącą dyrektywę operacyjną (BOD) nakazującą agencjom federalnym Stanów Zjednoczonych zabezpieczenie sprzętu sieciowego wystawionego na działanie Internetu, w tym routerów SOHO, w ciągu 14 dni od wykrycia, aby zapobiec potencjalnym naruszeniom. Złamanie zabezpieczeń takich urządzeń dałoby hakerom możliwość włączenia zhakowanych routerów do ich infrastruktury ataku, służąc jako platforma startowa do bocznego ruchu do sieci wewnętrznych, zgodnie z ostrzeżeniem CISA.

Zagrożenie stwarzane przez AVrecon wynika z faktu, że routery SOHO zazwyczaj znajdują się poza konwencjonalnymi granicami bezpieczeństwa, co utrudnia obrońcom wykrywanie złośliwych działań. Ten modus operandi odzwierciedla taktykę stosowaną przez chińską grupę cyberszpiegowską znaną jako Volt Typhoon. Wykorzystali podobne techniki do stworzenia ukrytej sieci proxy przy użyciu skompromitowanego sprzętu sieciowego SOHO firm ASUS, Cisco, D-Link, Netgear, FatPipe i Zyxel. Ukryta sieć proxy była wykorzystywana do ukrywania złośliwych działań w legalnym ruchu sieciowym, a jej celem były organizacje infrastruktury krytycznej w Stanach Zjednoczonych od co najmniej połowy 2021 r.