AIRASHI Botnet
Μια ευπάθεια zero-day στους δρομολογητές cnPilot της Cambium Networks έχει γίνει το πιο πρόσφατο εργαλείο για εγκληματίες του κυβερνοχώρου που αναπτύσσουν μια παραλλαγή botnet της AISURU γνωστής ως AIRASHI. Αυτή η καμπάνια, που δραστηριοποιείται από τον Ιούνιο του 2024, εκμεταλλεύεται το ελάττωμα για να ενορχηστρώσει ισχυρές επιθέσεις Distributed Denial-of-Service (DDoS). Οι ερευνητές ασφαλείας απέκρυψαν λεπτομέρειες σχετικά με την ευπάθεια για τον περιορισμό της κακής χρήσης του ενώ οι έρευνες είναι σε εξέλιξη.
Πίνακας περιεχομένων
Μια ιστορία εκμεταλλευόμενων τρωτών σημείων
Το botnet AIRASHI δεν περιορίζεται σε ένα μόνο διάνυσμα επίθεσης. Εξοπλίζει μια σειρά από τρωτά σημεία, συμπεριλαμβανομένων των CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-3573, CVE-2020-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 και άλλα ελαττώματα που εντοπίστηκαν στις κάμερες IP AVTECH, στα DVR LILIN και στις συσκευές Shenzhen TVT. Εκμεταλλευόμενη αυτό το ευρύ φάσμα αδυναμιών, η AIRASHI συνεχίζει να αναπτύσσει την εμβέλεια και την πολυπλοκότητά της.
Δυνατότητες επίθεσης DDoS: Μια πιο προσεκτική ματιά
Οι χειριστές πίσω από το AIRASHI δεν ντρέπονται για τις δραστηριότητές τους, δημοσιεύοντας αποτελέσματα δοκιμών των δυνατοτήτων DDoS του botnet τους στο Telegram. Τα ιστορικά δεδομένα αποκαλύπτουν ότι η ικανότητα επίθεσης σταθεροποιείται γύρω στα 1-3 Tbps. Γεωγραφικά, οι περισσότερες παραβιασμένες συσκευές βρίσκονται στη Βραζιλία, τη Ρωσία, το Βιετνάμ και την Ινδονησία. Ωστόσο, οι στόχοι συγκεντρώνονται σε περιοχές όπως η Κίνα, οι Ηνωμένες Πολιτείες, η Πολωνία και η Ρωσία, όπου οι επιβλαβείς λειτουργίες του botnet έχουν προκαλέσει τη μεγαλύτερη αναστάτωση.
Η εξέλιξη της AISURU σε AIRASHI
Το AIRASHI προέρχεται από το botnet AISURU, το οποίο είχε προηγουμένως εντοπιστεί τον Αύγουστο του 2024 κατά τη διάρκεια μιας επίθεσης DDoS υψηλού προφίλ στο Steam, η οποία συνέπεσε με την κυκλοφορία του παιχνιδιού Black Myth: Wukong. Αφού σταμάτησε προσωρινά τις δραστηριότητές του τον Σεπτέμβριο του 2024, το botnet επανεμφανίστηκε με ενημερωμένα χαρακτηριστικά με την κωδική ονομασία "kitty" και ανανεώθηκε περαιτέρω ως AIRASHI έως τον Νοέμβριο.
Ένα Botnet διπλού σκοπού: AIRASHI-DDoS και AIRASHI-Proxy
Η AIRASHI λειτουργεί με δύο διακριτές μορφές:
- AIRASHI-DDoS : Εντοπίστηκε στα τέλη Οκτωβρίου 2024, αυτή η παραλλαγή εστιάζει σε επιθέσεις DDoS, αλλά επεκτείνει τις δυνατότητές της ώστε να περιλαμβάνει αυθαίρετη εκτέλεση εντολών και αντίστροφη πρόσβαση φλοιού.
- AIRASHI-Proxy : Αποκαλύφθηκε τον Δεκέμβριο του 2024, αυτή η παραλλαγή προσθέτει λειτουργικότητα διακομιστή μεσολάβησης, σηματοδοτώντας μια διαφοροποίηση των υπηρεσιών πέρα από τις λειτουργίες DDoS.
Προώθηση της επικοινωνίας και της κρυπτογράφησης
Για να διασφαλίσει ασφαλείς και αποτελεσματικές λειτουργίες, η AIRASHI χρησιμοποιεί ένα νέο πρωτόκολλο δικτύου που αξιοποιεί τους αλγόριθμους κρυπτογράφησης HMAC-SHA256 και CHACHA20. Ενώ το AIRASHI-DDoS υποστηρίζει 13 διαφορετικούς τύπους μηνυμάτων, το AIRASHI-Proxy χρησιμοποιεί μια πιο βελτιωμένη προσέγγιση με πέντε. Επιπλέον, το botnet προσαρμόζει δυναμικά τις μεθόδους του για την ανάκτηση των στοιχείων του διακομιστή Command-and-Control (C2) μέσω ερωτημάτων DNS.
Botnets και συσκευές IoT: Μια επίμονη απειλή στον κυβερνοχώρο
Τα ευρήματα υπογραμμίζουν την επίμονη εκμετάλλευση των τρωτών σημείων των συσκευών IoT από κυβερνοεγκληματίες. Οι συσκευές IoT χρησιμεύουν τόσο ως σημείο εισόδου για κακούς παράγοντες όσο και ως βάση για τη δημιουργία ισχυρών botnets. Αξιοποιώντας αυτές τις παραβιασμένες συσκευές, οι παράγοντες απειλών ενισχύουν τη δύναμη των επιθέσεων DDoS, δείχνοντας την κρίσιμη ανάγκη για βελτιωμένη ασφάλεια συσκευών στο οικοσύστημα IoT.
