AVrecon Botnet зловреден софтуер

От май 2021 г. нататък силно скрит злонамерен софтуер за Linux, известен като AVrecon, е използван за проникване в повече от 70 000 рутера за малки офиси/домашен офис (SOHO), работещи на базирани на Linux системи. Тези компрометирани рутери след това се включват в ботнет, обслужвайки двойна цел: кражба на честотна лента и установяване на скрита жилищна прокси услуга. Според експерти по информационна сигурност, от 70 000 устройства, компрометирани от AVrecon, около 40 000 са включени в ботнет.

Използвайки този ботнет, операторите на AVrecon могат ефективно да прикрият набор от вредни начинания. Тези дейности обхващат широк спектър, вариращ от измамни цифрови рекламни схеми до атаки с пръскане на пароли. Наличието на скрита домашна прокси услуга им предоставя средства за анонимизиране на операциите им и използване на компрометираната мрежова инфраструктура, за да извършват престъпните си дейности незабелязани.

Зловреден софтуер AVrecon работи безшумно на пробитите устройства

От първоначалното си откриване през май 2021 г. AVrecon демонстрира забележителна способност да избягва откриването. Първоначално беше насочен към рутерите на Netgear и успя да остане незабелязан повече от две години, като непрекъснато разширяваше обхвата си чрез примамване на нови ботове. Този безмилостен растеж го задвижи да се превърне в един от най-големите ботнети, насочени към рутери за малък офис/домашен офис (SOHO) в последно време.

Изглежда, че заплахите, които стоят зад този злонамерен софтуер, са се фокусирали стратегически върху използването на SOHO устройства, които е по-малко вероятно потребителите да закърпят срещу известни уязвимости и експозиции (CVE). Чрез възприемането на по-предпазлив подход операторите успяха да работят скрито за продължителен период от време, избягвайки откриването повече от две години. Скритият характер на злонамерения софтуер означаваше, че собствениците на заразени устройства рядко са имали забележими прекъсвания на услугите или загуба на честотна лента, което допълнително позволява на ботнетът да продължи незабелязан.

След като рутерът бъде заразен, зловредният софтуер продължава да предава информацията за компрометираното устройство към вграден сървър за командване и управление (C2). Впоследствие хакнатата машина получава инструкции да установи комуникация с отделен набор от сървъри, известни като второстепенни C2 сървъри. По време на своето разследване изследователите по сигурността идентифицираха общо 15 контролни сървъра от втори етап. Тези сървъри работят най-малко от октомври 2021 г., както е определено от информацията за сертификата x.509.

Наличието на тези второстепенни C2 сървъри подчертава сложната инфраструктура и организация, използвани от заплахите, които стоят зад зловреден софтуер. Той допълнително подчертава предизвикателствата, пред които са изправени експертите по киберсигурност при борбата и смекчаването на въздействието на тази постоянна и неуловима ботнет мрежа.

Компрометираните SOHO устройства могат да доведат до сериозни последствия

В обвързваща оперативна директива (BOD), издадена наскоро от Агенцията за киберсигурност и сигурност на инфраструктурата (CISA), федералните агенции на САЩ са упълномощени да предприемат незабавни действия за осигуряване на изложено на интернет мрежово оборудване, включително SOHO рутери. Тази директива изисква от федералните агенции да подсилят тези устройства в рамките на 14 дни след откриването им, за да предотвратят потенциални опити за пробив.

Причината зад тази неотложност е, че успешен компромет на такива устройства би предоставил на участниците в заплахата възможността да включат компрометираните рутери в своята инфраструктура за атака. Това от своя страна ще послужи като стартова площадка за странично движение във вътрешните мрежи на целевите субекти, както подчертава CISA в тяхното предупреждение.

Използването на AVrecon от участници в заплахи служи за двойна цел: прокси трафик и участие в престъпни дейности, като пръскане на пароли. Този различен начин на действие го отличава от предишните ни открития на базиран на рутер зловреден софтуер, който се фокусира основно върху директно насочване към мрежата.

Сериозността на тази заплаха произтича от факта, че SOHO рутерите обикновено работят извън конвенционалния защитен периметър. Следователно способността на защитниците да откриват опасни дейности е значително намалена. Тази ситуация подчертава критичното значение на незабавното осигуряване на тези устройства, за да се намали рискът от потенциални пробиви и да се подобри цялостната сигурност на мрежата.