Ботнет AIRASHI
Уязвимост от нулев ден в рутерите cnPilot на Cambium Networks се превърна в най-новия инструмент за киберпрестъпници, внедряващи вариант на ботнет на AISURU, известен като AIRASHI. Тази кампания, активна от юни 2024 г., използва пропуска, за да организира мощни разпределени атаки за отказ на услуга (DDoS). Изследователите по сигурността са премълчали подробности относно уязвимостта, за да ограничат злоупотребата с нея, докато разследванията продължават.
Съдържание
История на експлоатирани уязвимости
Ботнетът AIRASHI не е ограничен до един вектор на атака. Той използва серия от уязвимости, включително CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 и други недостатъци, открити в AVTECH IP камери, LILIN DVR и Shenzhen TVT устройства. Използвайки този широк спектър от слабости, AIRASHI продължава да разширява своя обхват и изтънченост.
Възможности за DDoS атака: Поглед отблизо
Операторите зад AIRASHI не се притесняват от дейността си, публикувайки резултати от тестове на възможностите за DDoS на своята ботнет в Telegram. Исторически данни разкриват, че неговият капацитет за атака се стабилизира около 1-3 Tbps. Географски повечето компрометирани устройства се намират в Бразилия, Русия, Виетнам и Индонезия. Целите обаче са съсредоточени в региони като Китай, Съединените щати, Полша и Русия, където вредните операции на ботнета са причинили най-много прекъсвания.
Еволюцията на AISURU към AIRASHI
AIRASHI произлиза от ботнета AISURU, който беше идентифициран преди това през август 2024 г. по време на високопрофилна DDoS атака на Steam, която съвпадна с пускането на играта Black Myth: Wukong. След временно спиране на операциите си през септември 2024 г., ботнетът се появи отново с актуализирани функции с кодово име „kitty“ и беше допълнително преработен като AIRASHI до ноември.
Ботнет с двойно предназначение: AIRASHI-DDoS и AIRASHI-Proxy
AIRASHI работи в две различни форми:
- AIRASHI-DDoS : Открит в края на октомври 2024 г., този вариант се фокусира върху DDoS атаки, но разширява възможностите си, за да включва произволно изпълнение на команда и обратен достъп до обвивката.
- AIRASHI-Proxy : Разкрит през декември 2024 г., този вариант добавя прокси функционалност, сигнализирайки за диверсификация на услугите извън DDoS операциите.
Усъвършенстване на комуникацията и криптирането
За да осигури сигурни и ефективни операции, AIRASHI използва нов мрежов протокол, използващ алгоритми за криптиране HMAC-SHA256 и CHACHA20. Докато AIRASHI-DDoS поддържа 13 различни типа съобщения, AIRASHI-Proxy използва по-рационализиран подход с пет. Освен това ботнетът динамично настройва своите методи за извличане на подробности за сървъра за командване и управление (C2) чрез DNS заявки.
Ботнет мрежи и IoT устройства: постоянна киберзаплаха
Констатациите подчертават упоритата експлоатация на уязвимостите на IoT устройствата от киберпрестъпниците. IoT устройствата служат както като входна точка за лошите участници, така и като основа за изграждане на стабилни ботнет мрежи. Използвайки тези компрометирани устройства, участниците в заплахите усилват силата на DDoS атаките, демонстрирайки критичната нужда от подобрена сигурност на устройствата в IoT екосистемата.
