AIRASHI Botnet
En nul-dages sårbarhed i Cambium Networks' cnPilot-routere er blevet det seneste værktøj for cyberkriminelle, der implementerer en AISURU-botnetvariant kendt som AIRASHI. Denne kampagne, der har været aktiv siden juni 2024, udnytter fejlen til at orkestrere kraftfulde DDoS-angreb (Distributed Denial-of-Service). Sikkerhedsforskere har tilbageholdt detaljer om sårbarheden for at begrænse dens misbrug, mens undersøgelser er i gang.
Indholdsfortegnelse
En historie om udnyttede sårbarheder
AIRASHI-botnettet er ikke begrænset til en enkelt angrebsvektor. Det våbengør en række sårbarheder, herunder CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-85202, CVE-35202, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 og andre fejl fundet i AVTECH IP-kameraer, LILIN DVR'er og Shenzhen TVT-enheder. Ved at udnytte dette brede spektrum af svagheder fortsætter AIRASHI med at vokse sin rækkevidde og sofistikering.
DDoS-angrebsfunktioner: Et nærmere kig
Operatørerne bag AIRASHI er ikke blege for deres aktiviteter og poster testresultater af deres botnets DDoS-funktioner på Telegram. Historiske data afslører, at dens angrebskapacitet stabiliserer sig omkring 1-3 Tbps. Geografisk er de fleste kompromitterede enheder placeret i Brasilien, Rusland, Vietnam og Indonesien. Målene er dog koncentreret i regioner som Kina, USA, Polen og Rusland, hvor botnettets skadelige operationer har forårsaget mest forstyrrelse.
Udviklingen af AISURU til AIRASHI
AIRASHI stammer fra AISURU-botnettet, som tidligere blev identificeret i august 2024 under et højprofileret DDoS-angreb på Steam, som faldt sammen med udgivelsen af spillet Black Myth: Wukong. Efter midlertidigt at have stoppet sine operationer i september 2024, genopstod botnettet med opdaterede funktioner kodenavnet "kitty" og blev yderligere fornyet som AIRASHI i november.
Et dual-purpose botnet: AIRASHI-DDoS og AIRASHI-Proxy
AIRASHI opererer i to forskellige former:
- AIRASHI-DDoS : Opdaget i slutningen af oktober 2024 fokuserer denne variant på DDoS-angreb, men udvider dens muligheder til at omfatte vilkårlig kommandoudførelse og omvendt shell-adgang.
- AIRASHI-Proxy : Afsløret i december 2024 tilføjer denne variation proxy-funktionalitet, hvilket signalerer en diversificering af tjenester ud over DDoS-operationer.
Fremme kommunikation og kryptering
For at sikre sikker og effektiv drift anvender AIRASHI en ny netværksprotokol, der udnytter HMAC-SHA256 og CHACHA20 krypteringsalgoritmer. Mens AIRASHI-DDoS understøtter 13 forskellige meddelelsestyper, bruger AIRASHI-Proxy en mere strømlinet tilgang med fem. Derudover justerer botnettet dynamisk sine metoder til at hente Command-and-Control (C2) serverdetaljer via DNS-forespørgsler.
Botnets og IoT-enheder: En vedvarende cybertrussel
Resultaterne fremhæver cyberkriminelles vedvarende udnyttelse af IoT-enheders sårbarheder. IoT-enheder fungerer både som et indgangspunkt for dårlige aktører og grundlaget for at bygge robuste botnets. Ved at udnytte disse kompromitterede enheder forstærker trusselsaktører kraften i DDoS-angreb, hvilket viser det kritiske behov for forbedret enhedssikkerhed i IoT-økosystemet.
