AIRASHI robotivõrk
Nullpäevane haavatavus Cambium Networksi cnPilot-ruuterites on muutunud küberkurjategijate uusimaks tööriistaks, kes kasutavad AIRASHI nime all tuntud AISURU robotvõrgu varianti. See kampaania, mis on aktiivne alates 2024. aasta juunist, kasutab seda viga ära võimsate hajutatud teenusekeelu (DDoS) rünnakute korraldamiseks. Turvateadlased on uurimise käigus varjanud haavatavuse üksikasju, et piirata selle väärkasutust.
Sisukord
Kasutatud haavatavuste ajalugu
AIRASHI botnet ei ole piiratud ühe ründevektoriga. See kaitseb haavatavusi, sealhulgas CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-25499, CVE-2020-85103, CVE-85103, C3-5. CVE-2022-40005, CVE-2022-44149, CVE-2023-287 ja muud AVTECH IP-kaamerate, LILIN DVR-i ja Shenzheni TVT seadmete vead. Seda nõrkade külgede laia spektrit ära kasutades jätkab AIRASHI oma haarde ja keerukuse kasvu.
DDoS-i rünnakuvõimalused: lähemalt
AIRASHI taga olevad operaatorid ei häbene oma tegevust, postitades oma botneti DDoS-i võimaluste testitulemused Telegrami. Ajaloolised andmed näitavad, et selle ründevõime stabiliseerub vahemikus 1–3 Tbps. Geograafiliselt asub enamik ohustatud seadmeid Brasiilias, Venemaal, Vietnamis ja Indoneesias. Sihtmärgid on aga koondunud sellistesse piirkondadesse nagu Hiina, USA, Poola ja Venemaa, kus botneti kahjulikud tegevused on põhjustanud kõige rohkem häireid.
AISURU areng AIRASHI-ks
AIRASHI pärineb AISURU robotvõrgust, mis tuvastati varem 2024. aasta augustis Steami kõrgetasemelise DDoS-i rünnaku ajal, mis langes kokku mängu Black Myth: Wukong ilmumisega. Pärast oma tegevuse ajutist peatamist 2024. aasta septembris ilmus botnet uuesti värskendatud funktsioonidega koodnimega "kitty" ja novembriks muudeti seda AIRASHI-ks.
Kaheotstarbeline robotvõrk: AIRASHI-DDoS ja AIRASHI-puhverserver
AIRASHI tegutseb kahes erinevas vormis:
- AIRASHI-DDoS : 2024. aasta oktoobri lõpus tuvastatud variant keskendub DDoS-i rünnakutele, kuid laiendab selle võimalusi, et hõlmata suvalise käsu täitmist ja tagasipööratud shell-juurdepääsu.
- AIRASHI-puhverserver : 2024. aasta detsembris avalikustatud variant lisab puhverserveri funktsionaalsust, andes märku teenuste mitmekesistamisest väljaspool DDoS-i toiminguid.
Suhtlemise ja krüptimise edendamine
Turvalise ja tõhusa toimimise tagamiseks kasutab AIRASHI uut võrguprotokolli, mis kasutab HMAC-SHA256 ja CHACHA20 krüpteerimisalgoritme. Kui AIRASHI-DDoS toetab 13 erinevat sõnumitüüpi, siis AIRASHI-Puhverserver kasutab sujuvamat lähenemisviisi viiega. Lisaks kohandab robotvõrk dünaamiliselt oma meetodeid, et hankida DNS-päringute kaudu Command-and-Control (C2) serveri üksikasju.
Botivõrgud ja IoT-seadmed: püsiv küberoht
Leiud rõhutavad küberkurjategijate pidevat asjade Interneti-seadmete haavatavuste ärakasutamist. IoT-seadmed toimivad nii halbade osalejate sisenemispunktina kui ka tugevate robotvõrkude loomise alusena. Neid ohustatud seadmeid võimendades suurendavad ohus osalejad DDoS-i rünnakute jõudu, näidates kriitilist vajadust seadmete täiustatud turvalisuse järele asjade Interneti ökosüsteemis.
