Botnet AIRASHI
Zranitelnost nultého dne v routerech cnPilot společnosti Cambium Networks se stala nejnovějším nástrojem pro kyberzločince, kteří nasazují variantu botnetu AISURU známou jako AIRASHI. Tato kampaň, aktivní od června 2024, využívá tuto chybu k organizování výkonných útoků DDoS (Distributed Denial-of-Service). Bezpečnostní výzkumníci zatajili podrobnosti o zranitelnosti, aby se omezilo její zneužití, zatímco vyšetřování probíhá.
Obsah
Historie zneužitých zranitelností
Botnet AIRASHI není omezen na jeden vektor útoku. Vyzbrojuje řadu zranitelností, včetně CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-85025, CVE-2020-85025, CVE-20015 CVE-2022-40005, CVE-2022-44149, CVE-2023-287 a další nedostatky nalezené v IP kamerách AVTECH, digitálních videorekordérech LILIN a zařízeních Shenzhen TVT. Využitím tohoto širokého spektra slabých stránek AIRASHI nadále rozšiřuje svůj dosah a sofistikovanost.
Schopnosti útoku DDoS: Bližší pohled
Operátoři stojící za AIRASHI se svých aktivit nestydí a zveřejňují výsledky testů schopností svého botnetu DDoS na Telegramu. Historická data ukazují, že jeho útočná kapacita se stabilizuje kolem 1-3 Tbps. Geograficky se nejvíce napadených zařízení nachází v Brazílii, Rusku, Vietnamu a Indonésii. Cíle jsou však soustředěny v regionech jako Čína, Spojené státy, Polsko a Rusko, kde škodlivé operace botnetu způsobily největší narušení.
Evoluce AISURU k AIRASHI
AIRASHI pochází z botnetu AISURU, který byl dříve identifikován v srpnu 2024 během vysoce sledovaného DDoS útoku na Steam, který se časově shodoval s vydáním hry Black Myth: Wukong. Po dočasném zastavení své činnosti v září 2024 se botnet znovu objevil s aktualizovanými funkcemi s kódovým označením „koťátko“ a do listopadu byl dále přepracován jako AIRASHI.
Dvouúčelový botnet: AIRASHI-DDoS a AIRASHI-Proxy
AIRASHI funguje ve dvou odlišných formách:
- AIRASHI-DDoS : Tato varianta, zjištěná koncem října 2024, se zaměřuje na útoky DDoS, ale rozšiřuje své možnosti tak, aby zahrnovala provádění libovolného příkazu a zpětný přístup k shellu.
- AIRASHI-Proxy : Tato varianta byla představena v prosinci 2024 a přidává funkci proxy, která signalizuje diverzifikaci služeb nad rámec DDoS operací.
Pokročilá komunikace a šifrování
Pro zajištění bezpečných a efektivních operací využívá AIRASHI nový síťový protokol využívající šifrovací algoritmy HMAC-SHA256 a CHACHA20. Zatímco AIRASHI-DDoS podporuje 13 různých typů zpráv, AIRASHI-Proxy využívá efektivnější přístup s pěti. Botnet navíc dynamicky upravuje své metody pro získávání podrobností o serveru Command-and-Control (C2) prostřednictvím dotazů DNS.
Botnety a zařízení internetu věcí: Trvalá kybernetická hrozba
Zjištění zdůrazňují trvalé využívání zranitelností zařízení internetu věcí ze strany kyberzločinců. Zařízení IoT slouží jako vstupní bod pro špatné aktéry i jako základ pro budování robustních botnetů. Využitím těchto kompromitovaných zařízení aktéři hrozeb zesilují sílu DDoS útoků a ukazují kritickou potřebu lepšího zabezpečení zařízení v ekosystému internetu věcí.
