AVrecon Botnet Malware ataca milhares de roteadores Linux

AVrecon é um malware baseado em Linux que vem causando problemas significativos desde maio de 2021. Ele infectou mais de 70.000 roteadores de pequenos escritórios/escritórios domésticos (SOHO), criando uma botnet com o objetivo de roubar largura de banda e operar um serviço de proxy residencial oculto. Os operadores do AVrecon empregaram várias atividades maliciosas, variando de fraude de publicidade digital a pulverização de senhas, aproveitando os recursos da botnet.

A equipe de pesquisa de ameaças do Black Lotus Labs na Lumen tem monitorado de perto as atividades da AVrecon. Eles descobriram que, embora o trojan de acesso remoto (RAT) tenha comprometido mais de 70.000 dispositivos, apenas 40.000 foram adicionados com sucesso à botnet. O AVrecon demonstrou uma capacidade notável de permanecer sem ser detectado desde sua identificação inicial em maio de 2021, visando especificamente os roteadores Netgear. Ele conseguiu evitar a detecção por mais de dois anos, expandindo constantemente sua influência e se tornando um dos botnets mais significativos focados em roteadores SOHO nos últimos tempos.

O que os especialistas pensam sobre os perigos do malware AVrecon Botnet

Os especialistas do Black Lotus Labs suspeitam que os agentes de ameaças por trás do AVrecon visaram intencionalmente dispositivos SOHO que os usuários teriam menos probabilidade de corrigir contra vulnerabilidades e exposições conhecidas (CVEs). Em vez de buscar ganhos financeiros imediatos, os operadores adotaram uma abordagem paciente, permitindo-lhes operar secretamente por um período prolongado. Devido à natureza clandestina do malware, os proprietários de máquinas infectadas raramente percebem interrupções no serviço ou perda de largura de banda.

Depois que um roteador é infectado pelo AVrecon, o malware transmite as informações do dispositivo comprometido para um servidor de comando e controle (C2) embutido nele. O servidor instrui o roteador invadido a estabelecer comunicação com um grupo separado de servidores conhecidos como servidores C2 de segundo estágio. Os pesquisadores identificaram 15 desses servidores de controle de segundo estágio, que estão operacionais desde pelo menos outubro de 2021 com base nas informações do certificado x.509.

Em resposta à ameaça do AVrecon, a equipe de segurança do Black Lotus na Lumen agiu ao rotear nulo o servidor C2 da botnet em sua rede de backbone. Essa ação efetivamente cortou a conexão entre o botnet malicioso e seu servidor de controle central, impedindo significativamente sua capacidade de realizar atividades prejudiciais. A criptografia empregada pelo AVrecon impediu que os pesquisadores fornecessem detalhes específicos sobre o sucesso das tentativas de pulverização de senha, mas o roteamento nulo dos nós C2 e o bloqueio do tráfego através dos servidores proxy tornaram o botnet inerte no backbone Lumen.

A perspectiva sombria do malware AVrecon Botnet

Reconhecendo a gravidade dessa ameaça, a Agência de Segurança Cibernética e Infraestrutura (CISA) emitiu uma diretiva operacional vinculativa (BOD) instruindo as agências federais dos EUA a proteger equipamentos de rede expostos à Internet, incluindo roteadores SOHO, dentro de 14 dias após a descoberta para evitar possíveis violações. O comprometimento desses dispositivos daria aos agentes de ameaças a oportunidade de incorporar os roteadores hackeados em sua infraestrutura de ataque, servindo como uma plataforma de lançamento para movimentos laterais em redes internas, conforme alertado pela CISA.

O perigo representado pelo AVrecon decorre do fato de que os roteadores SOHO normalmente existem fora do perímetro de segurança convencional, dificultando a detecção de atividades maliciosas pelos defensores. Esse modus operandi reflete as táticas empregadas pelo grupo chinês de ciberespionagem conhecido como Volt Typhoon. Eles usaram técnicas semelhantes para criar uma rede proxy secreta usando equipamentos de rede SOHO comprometidos da ASUS, Cisco, D-Link, Netgear, FatPipe e Zyxel. A rede proxy secreta foi usada para ocultar atividades maliciosas dentro do tráfego de rede legítimo enquanto visava organizações de infraestrutura crítica nos Estados Unidos desde pelo menos meados de 2021.