Malware AVrecon Botnet

Od května 2021 byl vysoce skrytý linuxový malware známý jako AVrecon využíván k infiltraci více než 70 000 routerů pro malé kanceláře/domácí kanceláře (SOHO) fungujících na systémech založených na Linuxu. Tyto kompromitované routery jsou pak začleněny do botnetu, který slouží dvojímu účelu: krádeži šířky pásma a zřízení skryté rezidenční proxy služby. Podle odborníků z Infosec bylo ze 70 000 zařízení kompromitovaných AVreconem asi 40 000 začleněno do botnetu.

Využitím tohoto botnetu mohou operátoři AVreconu efektivně skrývat řadu škodlivých podniků. Tyto aktivity zahrnují široké spektrum, od podvodných digitálních reklamních schémat až po útoky se sprejováním hesel. Dostupnost skryté rezidenční proxy služby jim poskytuje prostředky k anonymizaci jejich operací a zneužití kompromitované síťové infrastruktury k provádění jejich nekalých činností bez odhalení.

Malware AVrecon funguje na narušených zařízeních tiše

Od své první detekce v květnu 2021 prokázal AVrecon pozoruhodnou schopnost vyhnout se detekci. Původně se zaměřoval na routery Netgear a podařilo se mu zůstat nedetekován více než dva roky a neustále rozšiřovat svůj dosah tím, že chytal nové roboty. Tento neutuchající růst z něj v poslední době popohnal, aby se stal jedním z největších botnetů zaměřených na routery pro malé kanceláře/domácí kanceláře (SOHO).

Zdá se, že aktéři hrozeb za tímto malwarem se strategicky soustředili na zneužívání zařízení SOHO, která uživatelé s menší pravděpodobností opravovali proti známým zranitelnostem a rizikům (CVE). Díky obezřetnějšímu přístupu byli operátoři schopni pracovat tajně po delší dobu a vyhýbat se detekci více než dva roky. Skrytá povaha malwaru znamenala, že majitelé infikovaných zařízení zřídka zaznamenali znatelné narušení služeb nebo ztrátu šířky pásma, což dále umožnilo, aby botnet přetrvával nedetekován.

Jakmile je směrovač infikován, malware pokračuje v přenosu informací o napadeném zařízení na vestavěný server Command-and-Control (C2). Následně hacknutý stroj obdrží instrukce k navázání komunikace se samostatnou sadou serverů známou jako servery druhé fáze C2. Bezpečnostní výzkumníci během svého vyšetřování identifikovali celkem 15 řídicích serverů druhé fáze. Tyto servery jsou v provozu minimálně od října 2021, jak je určeno informacemi o certifikátu x.509.

Přítomnost těchto serverů C2 druhé fáze podtrhuje sofistikovanou infrastrukturu a organizaci využívanou aktéry hrozeb za malwarem. Dále podtrhuje výzvy, kterým čelí odborníci na kybernetickou bezpečnost v boji a zmírňování dopadu tohoto přetrvávajícího a nepolapitelného botnetu.

Kompromitovaná zařízení SOHO by mohla vést k vážným následkům

V závazné provozní směrnici (BOD), kterou nedávno vydala Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA), byly federální agentury USA pověřeny přijmout okamžitá opatření k zabezpečení síťových zařízení vystavených internetu, včetně routerů SOHO. Tato směrnice vyžaduje, aby federální úřady do 14 dnů od objevení tato zařízení opevnily, aby se zabránilo potenciálním pokusům o narušení.

Důvodem této naléhavosti je, že úspěšné kompromitování takových zařízení by umožnilo aktérům ohrožení začlenit napadené směrovače do své útočné infrastruktury. To by zase sloužilo jako odrazový můstek pro boční pohyb do vnitřních sítí cílových entit, jak ve svém varování zdůraznila CISA.

Využití AVrecon aktéry hrozeb slouží dvojímu účelu: proxy provoz a zapojení do hanebných činností, jako je sprejování hesel. Tento odlišný modus operandi jej odlišuje od našich předchozích objevů malwaru založeného na směrovačích, který se primárně zaměřoval na přímé cílení na sítě.

Závažnost této hrozby vyplývá ze skutečnosti, že SOHO routery obvykle fungují mimo konvenční bezpečnostní perimetr. V důsledku toho je schopnost obránců odhalit nebezpečné činnosti výrazně snížena. Tato situace zdůrazňuje zásadní význam rychlého zabezpečení těchto zařízení, aby se zmírnilo riziko potenciálních narušení a zlepšilo se celkové zabezpečení sítě.