AVrecon Botnet pahavara

Alates 2021. aasta maist on väga varjatud Linuxi pahavara nimega AVrecon kasutatud enam kui 70 000 väikese kontori/kodukontori (SOHO) ruuterisse, mis töötavad Linuxi-põhistel süsteemidel. Need ohustatud ruuterid ühendatakse seejärel robotvõrku, millel on kaks eesmärki: ribalaiuse rikkumine ja varjatud puhverserveri teenuse loomine. Infoseci ekspertide sõnul ühendati 70 000 AVreconi ohustatud seadmest umbes 40 000 robotvõrku.

Seda botnetti kasutades saavad AVreconi operaatorid tõhusalt varjata terve rida kahjulikke ettevõtmisi. Need tegevused hõlmavad laia spektrit, ulatudes petturlikest digitaalsetest reklaamiskeemidest kuni paroolide pihustamise rünnakuteni. Varjatud puhverserveri teenuse kättesaadavus annab neile võimaluse oma toimingute anonüümseks muutmiseks ja ohustatud võrguinfrastruktuuri ärakasutamiseks, et teha märkamatult oma alatuid tegevusi.

AVreconi pahavara töötab rikutud seadmetes vaikselt

Alates esmasest avastamisest 2021. aasta mais on AVrecon näidanud märkimisväärset võimet tuvastamisest kõrvale hiilida. Algselt oli see suunatud Netgeari ruuteritele ja suutis jääda avastamata üle kahe aasta, laiendades pidevalt oma haaret uute robotite lõksu püüdes. See järeleandmatu kasv on ajendanud sellest saama viimasel ajal üheks suurimaks väikestele kontori-/kodukontori (SOHO) ruuteritele suunatud robotvõrkudeks.

Näib, et selle pahavara taga olevad ohustajad on strateegiliselt keskendunud SOHO-seadmete ärakasutamisele, mida kasutajad vähem tõenäoliselt parandasid teadaolevate haavatavuste ja kokkupuute (CVE) vastu. Ettevaatlikuma lähenemisviisi kasutamisel suutsid operaatorid pikema aja jooksul vargsi tegutseda, vältides tuvastamist enam kui kahe aasta jooksul. Pahavara varjatud olemus tähendas, et nakatunud seadmete omanikud kogesid harva märgatavaid teenusehäireid või ribalaiuse kaotust, mis võimaldas robotvõrgul avastamatult püsida.

Kui ruuter on nakatunud, edastab pahavara ohustatud seadme teabe manustatud Command-and-Control (C2) serverisse. Seejärel saab häkitud masin juhised ühenduse loomiseks eraldi serverite komplektiga, mida nimetatakse teise astme C2 serveriteks. Uurimise käigus tuvastasid turvauurijad kokku 15 teise astme juhtimisserverit. Need serverid on x.509 sertifikaadi teabe põhjal töötanud vähemalt 2021. aasta oktoobrist.

Nende teise astme C2 serverite olemasolu tõstab esile keeruka infrastruktuuri ja organisatsiooni, mida kasutavad pahavara taga olevad ohustajad. See rõhutab veelgi väljakutseid, millega küberjulgeolekueksperdid selle püsiva ja tabamatu botneti vastu võitlemisel ja selle mõju leevendamisel silmitsi seisavad.

Ohustatud SOHO-seadmed võivad kaasa tuua tõsiseid tagajärgi

Küberturvalisuse ja infrastruktuuri turbeagentuuri (CISA) hiljuti välja antud siduvas tegevusjuhises (BOD) on USA föderaalasutustel volitused võtta viivitamata meetmeid Interneti-ühendusega võrguseadmete, sealhulgas SOHO-ruuterite kaitsmiseks. See direktiiv nõuab, et föderaalasutused tugevdaksid neid seadmeid 14 päeva jooksul pärast avastamist, et vältida võimalikke rikkumiskatseid.

Selle kiireloomulisuse põhjuseks on see, et selliste seadmete edukas kompromiss annaks ohus osalejatele võimaluse lisada ohustatud ruuterid oma rünnaku infrastruktuuri. See omakorda toimiks stardiplatvormina külgsuunas liikumiseks sihtüksuste sisevõrkudesse, nagu CISA oma hoiatuses rõhutas.

AVreconi kasutamine ohus osalejate poolt teenib kahte eesmärki: liikluse puhverserver ja alatu tegevus, näiteks paroolide pihustamine. See eriline tööviis eristab seda meie varasematest ruuteripõhise pahavara avastustest, mis keskendusid peamiselt otsesele võrgu sihtimisele.

Selle ohu tõsidus tuleneb asjaolust, et SOHO ruuterid töötavad tavaliselt väljaspool tavapärast turvapiiret. Sellest tulenevalt väheneb oluliselt kaitsjate võime avastada ohtlikke tegevusi. Selline olukord rõhutab nende seadmete kiire turvalisuse kriitilist tähtsust, et leevendada võimalike rikkumiste riski ja suurendada üldist võrguturvalisust.