Вредоносная программа ботнета AVrecon атакует тысячи маршрутизаторов Linux

AVrecon — это вредоносное ПО на базе Linux, которое создает серьезные проблемы с мая 2021 года. Оно заразило более 70 000 маршрутизаторов малых и домашних офисов (SOHO), создав ботнет с целью кражи пропускной способности и работы скрытого резидентного прокси-сервиса. Операторы AVrecon использовали различные вредоносные действия, от мошенничества с цифровой рекламой до распыления паролей, используя возможности ботнета.

Группа исследователей угроз Black Lotus Labs в Lumen внимательно следит за деятельностью AVrecon. Они обнаружили, что хотя троян удаленного доступа (RAT) скомпрометировал более 70 000 устройств, только 40 000 были успешно добавлены в ботнет. AVrecon продемонстрировал замечательную способность оставаться незамеченным с момента его первоначальной идентификации в мае 2021 года, особенно в отношении маршрутизаторов Netgear. Ему удалось избежать обнаружения более двух лет, неуклонно расширяя свое влияние и став одним из самых значительных ботнетов, ориентированных на маршрутизаторы SOHO за последнее время.

Что эксперты думают об опасностях вредоносных программ ботнета AVrecon

Эксперты Black Lotus Labs подозревают, что субъекты угроз, стоящие за AVrecon, намеренно нацеливались на устройства SOHO, которые пользователи с меньшей вероятностью исправят от известных уязвимостей и экспозиций (CVE). Вместо того, чтобы преследовать немедленную финансовую выгоду, операторы приняли терпеливый подход, что позволило им действовать тайно в течение длительного периода времени. Из-за скрытного характера вредоносного ПО владельцы зараженных машин редко замечают какие-либо перебои в обслуживании или потерю пропускной способности.

Как только маршрутизатор заражается AVrecon, вредоносное ПО передает информацию о скомпрометированном устройстве на встроенный в него сервер управления и контроля (C2). Сервер дает указание взломанному маршрутизатору установить связь с отдельной группой серверов, известной как C2-серверы второго уровня. Исследователи выявили 15 таких управляющих серверов второго уровня, которые работают по крайней мере с октября 2021 года на основе информации о сертификате x.509.

В ответ на угрозу AVrecon группа безопасности Black Lotus в Lumen приняла меры, установив нулевую маршрутизацию C2-сервера ботнета в своей магистральной сети. Это действие фактически прервало связь между вредоносным ботнетом и его центральным управляющим сервером, что значительно затруднило его способность выполнять вредоносные действия. Шифрование, используемое AVrecon, не позволило исследователям предоставить конкретную информацию об успешности попыток распыления паролей, но нулевая маршрутизация узлов C2 и блокировка трафика через прокси-серверы сделали ботнет инертным в магистрали Lumen.

Мрачные перспективы вредоносного ПО ботнета AVrecon

Признавая серьезность этой угрозы, Агентство по кибербезопасности и безопасности инфраструктуры (CISA) выпустило обязывающую операционную директиву (BOD), предписывающую федеральным агентствам США обеспечить безопасность сетевого оборудования, доступного в Интернет, включая маршрутизаторы SOHO, в течение 14 дней после обнаружения, чтобы предотвратить потенциальные нарушения. Компрометация таких устройств предоставит злоумышленникам возможность включить взломанные маршрутизаторы в свою инфраструктуру атаки, служа стартовой площадкой для горизонтального проникновения во внутренние сети, как предупреждает CISA.

Опасность, которую представляет AVrecon, связана с тем, что маршрутизаторы SOHO обычно находятся за пределами обычного периметра безопасности, что затрудняет обнаружение вредоносных действий защитниками. Этот modus operandi отражает тактику, используемую китайской группой кибершпионажа, известной как Volt Typhoon. Они использовали аналогичные методы для создания скрытой прокси-сети с использованием скомпрометированного сетевого оборудования SOHO от ASUS, Cisco, D-Link, Netgear, FatPipe и Zyxel. Скрытая прокси-сеть использовалась для сокрытия вредоносных действий в законном сетевом трафике при нацеливании на критически важные инфраструктурные организации в США по крайней мере с середины 2021 года.