Programari maliciós de botnet AVrecon

A partir del maig de 2021, s'ha utilitzat un programari maliciós Linux altament encobert conegut com AVrecon per infiltrar-se en més de 70.000 encaminadors d'oficines/oficines a casa (SOHO) petites que operen en sistemes basats en Linux. A continuació, aquests encaminadors compromesos s'incorporen a una xarxa de bots, amb un doble propòsit: robar ample de banda i establir un servei de proxy residencial ocult. Segons els experts d'infosec, dels 70.000 dispositius compromesos per AVrecon, uns 40.000 es van incorporar a una botnet.

Mitjançant l'ús d'aquesta botnet, els operadors d'AVrecon poden ocultar de manera efectiva una sèrie d'empreses perjudicials. Aquestes activitats abasten un ampli espectre, que van des d'esquemes de publicitat digital fraudulenta fins a atacs amb contrasenya. La disponibilitat d'un servei de proxy residencial ocult els proporciona un mitjà per anonimitzar les seves operacions i explotar la infraestructura de xarxa compromesa per dur a terme les seves activitats nefastes sense ser detectades.

El programari maliciós AVrecon funciona en silenci als dispositius violats

Des de la seva detecció inicial el maig de 2021, AVrecon ha demostrat una capacitat notable per evadir la detecció. Inicialment es va dirigir als encaminadors Netgear i va aconseguir no ser detectat durant més de dos anys, ampliant constantment el seu abast atrapant nous robots. Aquest creixement implacable l'ha impulsat a convertir-se en una de les xarxes de bot més grans dirigides als encaminadors d'oficines/oficines a casa (SOHO) en els últims temps.

Els actors de l'amenaça darrere d'aquest programari maliciós sembla que s'han centrat estratègicament a explotar dispositius SOHO que els usuaris tenien menys probabilitats de corregir contra vulnerabilitats i exposicions conegudes (CVE). En adoptar un enfocament més prudent, els operadors van poder operar de manera sigilosa durant un període prolongat, eludint la detecció durant més de dos anys. La naturalesa subrepticia del programari maliciós va fer que els propietaris de dispositius infectats poques vegades experimentessin interrupcions notables del servei o pèrdua d'ample de banda, cosa que va permetre que la botnet persistís sense ser detectada.

Un cop infectat un encaminador, el programari maliciós passa a transmetre la informació del dispositiu compromès a un servidor de comandament i control (C2) integrat. Posteriorment, la màquina piratejada rep instruccions per establir comunicació amb un conjunt separat de servidors coneguts com a servidors C2 de segona etapa. Durant la seva investigació, els investigadors de seguretat van identificar un total de 15 servidors de control de segona etapa. Aquests servidors estan operatius des d'octubre de 2021 com a mínim, tal com determina la informació del certificat x.509.

La presència d'aquests servidors C2 de segona etapa posa de manifest la sofisticada infraestructura i organització emprada pels actors de l'amenaça darrere del programari maliciós. A més, subratlla els reptes als quals s'enfronten els experts en ciberseguretat per combatre i mitigar l'impacte d'aquesta botnet persistent i esquiva.

Els dispositius SOHO compromesos podrien tenir conseqüències greus

En una directiva operativa vinculant (BOD) emesa recentment per la Ciberseguretat i l'Agència de Seguretat de la Infraestructura (CISA), les agències federals dels EUA han rebut l'encàrrec de prendre mesures immediates per protegir els equips de xarxa exposats a Internet, inclosos els encaminadors SOHO. Aquesta directiva requereix que les agències federals enforteixin aquests dispositius dins dels 14 dies posteriors al descobriment per evitar possibles intents d'incompliment.

El motiu d'aquesta urgència és que un compromís amb èxit d'aquests dispositius donaria als actors de l'amenaça la capacitat d'incorporar els encaminadors compromesos a la seva infraestructura d'atac. Això, al seu torn, serviria com a plataforma de llançament per al moviment lateral a les xarxes internes de les entitats objectiu, tal com va subratllar CISA en la seva advertència.

La utilització d'AVrecon per part d'actors d'amenaça té un doble propòsit: representar el trànsit i participar en activitats nefastes, com ara la polvorització de contrasenyes. Aquest modus operandi diferent el diferencia dels nostres descobriments anteriors de programari maliciós basat en encaminadors, que es va centrar principalment en l'orientació directa a la xarxa.

La gravetat d'aquesta amenaça sorgeix del fet que els encaminadors SOHO solen funcionar fora del perímetre de seguretat convencional. En conseqüència, la capacitat dels defensors per detectar activitats insegures es redueix significativament. Aquesta situació posa de manifest la importància crítica de protegir ràpidament aquests dispositius per mitigar el risc de possibles incompliments i millorar la seguretat general de la xarxa.