AVrecon Botnet البرامج الضارة

اعتبارًا من مايو 2021 فصاعدًا ، تم استخدام أحد برامج Linux الخبيثة شديدة السرية والمعروفة باسم AVrecon للتسلل إلى أكثر من 70000 جهاز توجيه للمكاتب الصغيرة / المكاتب المنزلية (SOHO) تعمل على أنظمة قائمة على Linux. يتم بعد ذلك دمج أجهزة التوجيه المخترقة هذه في شبكة الروبوتات ، والتي تخدم غرضًا مزدوجًا: سرقة النطاق الترددي وإنشاء خدمة وكيل سكني مخفي. وفقًا لخبراء المعلومات ، من بين 70000 جهاز تم اختراقها بواسطة AVrecon ، تم دمج حوالي 40000 في شبكة الروبوتات.

من خلال استخدام هذه الروبوتات ، يمكن لمشغلي AVrecon إخفاء مجموعة من التعهدات الضارة بشكل فعال. تشمل هذه الأنشطة نطاقًا واسعًا ، بدءًا من مخططات الدعاية الرقمية الاحتيالية إلى هجمات رش كلمة المرور. توفر خدمة الوكيل السكنية المخفية لهم وسيلة لإخفاء هوية عملياتهم واستغلال البنية التحتية للشبكة المعرضة للخطر لتنفيذ أنشطتهم الشائنة دون أن يتم اكتشافها.

تعمل برامج AVrecon الضارة بصمت على الأجهزة التي تم اختراقها

منذ اكتشافه الأولي في مايو 2021 ، أثبت AVrecon قدرة رائعة على تجنب الاكتشاف. استهدفت في البداية أجهزة توجيه Netgear وتمكنت من البقاء غير مكتشفة لأكثر من عامين ، مما أدى إلى توسيع نطاق وصولها بشكل مطرد من خلال الإيقاع ببرامج الروبوت الجديدة. دفع هذا النمو المستمر الشركة لتصبح واحدة من أكبر شبكات الروبوت التي تستهدف أجهزة التوجيه للمكاتب الصغيرة / المكاتب المنزلية (SOHO) في الآونة الأخيرة.

يبدو أن الجهات الفاعلة في التهديد وراء هذه البرامج الضارة قد ركزت بشكل استراتيجي على استغلال أجهزة SOHO التي كان المستخدمون أقل احتمالية لتصحيحها ضد نقاط الضعف والتعرض المعروفة (CVEs). من خلال اعتماد نهج أكثر حذرًا ، تمكن المشغلون من العمل خلسة لفترة طويلة ، مما أدى إلى تجنب الاكتشاف لأكثر من عامين. كانت الطبيعة السرية للبرامج الضارة تعني أن مالكي الأجهزة المصابة نادرًا ما يواجهون اضطرابات ملحوظة في الخدمة أو فقدانًا في النطاق الترددي ، مما يمكّن الروبوتات من الاستمرار دون أن يتم اكتشافها.

بمجرد إصابة جهاز التوجيه ، تستمر البرامج الضارة في إرسال معلومات الجهاز المخترق إلى خادم الأوامر والتحكم (C2) المضمن. بعد ذلك ، يتلقى الجهاز الذي تم اختراقه تعليمات لإنشاء اتصال مع مجموعة منفصلة من الخوادم المعروفة باسم خوادم المرحلة الثانية C2. خلال تحقيقهم ، حدد الباحثون الأمنيون ما مجموعه 15 خادم تحكم من المرحلة الثانية. تم تشغيل هذه الخوادم منذ أكتوبر 2021 على الأقل ، وفقًا لما تحدده معلومات شهادة x.509.

يسلط وجود خوادم C2 من المرحلة الثانية الضوء على البنية التحتية المتطورة والتنظيم الذي يستخدمه الفاعلون المهددون وراء البرامج الضارة. كما يسلط الضوء على التحديات التي يواجهها خبراء الأمن السيبراني في مكافحة وتخفيف تأثير هذه الروبوتات المستمرة والمراوغة.

يمكن أن تؤدي أجهزة SOHO المخترقة إلى عواقب وخيمة

في التوجيه التشغيلي الملزم (BOD) الصادر مؤخرًا عن وكالة الأمن السيبراني وأمن البنية التحتية (CISA) ، تم تفويض الوكالات الفيدرالية الأمريكية لاتخاذ إجراءات فورية لتأمين معدات الشبكات المعرضة للإنترنت ، بما في ذلك أجهزة توجيه SOHO. يتطلب هذا التوجيه من الوكالات الفيدرالية تقوية هذه الأجهزة في غضون 14 يومًا من اكتشافها لمنع محاولات الاختراق المحتملة.

والسبب وراء هذا الإلحاح هو أن التسوية الناجحة لهذه الأجهزة ستمنح الجهات المهددة القدرة على دمج أجهزة التوجيه المخترقة في البنية التحتية للهجوم الخاصة بهم. وهذا بدوره سيكون بمثابة منصة انطلاق للحركة الأفقية في الشبكات الداخلية للكيانات المستهدفة ، كما أكد ذلك المجلس الهندي لأمريكا الجنوبية (CISA) في تحذيره.

يخدم استخدام AVrecon من قبل الجهات الفاعلة في التهديد غرضًا مزدوجًا: إنشاء وكلاء لحركة المرور والمشاركة في أنشطة شائنة مثل رش كلمة المرور. يميزه أسلوب العمل المميز هذا عن اكتشافاتنا السابقة للبرامج الضارة القائمة على جهاز التوجيه ، والتي ركزت بشكل أساسي على استهداف الشبكة المباشر.

تنبع خطورة هذا التهديد من حقيقة أن أجهزة توجيه SOHO تعمل عادةً خارج محيط الأمان التقليدي. وبالتالي ، فإن قدرة المدافعين على الكشف عن الأنشطة غير الآمنة تتضاءل بشكل كبير. يسلط هذا الموقف الضوء على الأهمية الحاسمة لتأمين هذه الأجهزة على الفور للتخفيف من مخاطر الانتهاكات المحتملة وتعزيز أمان الشبكة بشكل عام.