بدافزار AVrecon Botnet

از ماه مه 2021 به بعد، یک بدافزار بسیار مخفی لینوکس به نام AVrecon برای نفوذ به بیش از 70000 روتر کوچک اداری/دفتر خانگی (SOHO) که بر روی سیستم‌های مبتنی بر لینوکس کار می‌کنند، استفاده شده است. سپس این روترهای در معرض خطر در یک بات نت ادغام می شوند و هدفی دوگانه دارند: سرقت پهنای باند و ایجاد یک سرویس پروکسی مخفی مسکونی. به گفته کارشناسان infosec، از 70000 دستگاهی که توسط AVrecon به خطر افتاده است، حدود 40000 دستگاه در یک بات نت گنجانده شده است.

با استفاده از این بات نت، اپراتورهای AVrecon می توانند به طور موثر مجموعه ای از تعهدات مضر را پنهان کنند. این فعالیت‌ها طیف گسترده‌ای را در بر می‌گیرند، از طرح‌های تبلیغات دیجیتال تقلبی گرفته تا حملات اسپری رمز عبور. در دسترس بودن یک سرویس مخفی پروکسی مسکونی، ابزاری را برای آنها فراهم می کند تا عملیات خود را ناشناس نشان دهند و از زیرساخت شبکه آسیب دیده برای انجام فعالیت های پلید خود بدون شناسایی استفاده کنند.

بدافزار AVrecon بی صدا روی دستگاه های خراب کار می کند

از زمان شناسایی اولیه خود در می 2021، AVrecon توانایی قابل توجهی برای فرار از تشخیص نشان داده است. در ابتدا روترهای Netgear را هدف قرار داد و موفق شد برای بیش از دو سال ناشناخته بماند و به طور پیوسته با به دام انداختن ربات‌های جدید، دامنه دسترسی خود را افزایش داد. این رشد بی وقفه باعث شده است تا به یکی از بزرگترین بات نت هایی تبدیل شود که روترهای اداری/دفتر خانگی کوچک (SOHO) را در زمان های اخیر هدف قرار داده است.

به نظر می رسد عوامل تهدید در پشت این بدافزار به طور استراتژیک بر روی بهره برداری از دستگاه های SOHO تمرکز کرده اند که کاربران کمتر در برابر آسیب پذیری ها و مواجهه های شناخته شده (CVE) وصله می کنند. با اتخاذ یک رویکرد محتاطانه تر، اپراتورها توانستند برای مدت طولانی به صورت مخفیانه عمل کنند و بیش از دو سال از شناسایی فرار کنند. ماهیت مخفی این بدافزار به این معنی است که دارندگان دستگاه‌های آلوده به ندرت با اختلالات قابل توجه در سرویس یا از دست دادن پهنای باند مواجه می‌شوند و این امر باعث می‌شود بات‌نت بدون شناسایی باقی بماند.

هنگامی که روتر آلوده می شود، بدافزار اقدام به انتقال اطلاعات دستگاه در معرض خطر به یک سرور Command-and-Control (C2) تعبیه شده می کند. متعاقباً، دستگاه هک شده دستورالعمل هایی را برای برقراری ارتباط با مجموعه جداگانه ای از سرورها که به عنوان سرورهای مرحله دوم C2 شناخته می شوند، دریافت می کند. در طول تحقیقات خود، محققان امنیتی در مجموع 15 سرور کنترل مرحله دوم را شناسایی کردند. طبق اطلاعات گواهی x.509، این سرورها حداقل از اکتبر 2021 عملیاتی شده اند.

حضور این سرورهای مرحله دوم C2، زیرساخت و سازمان پیچیده ای را که توسط عوامل تهدید در پشت بدافزار به کار گرفته شده است، برجسته می کند. همچنین بر چالش‌های پیش روی کارشناسان امنیت سایبری در مبارزه و کاهش تأثیر این بات‌نت پایدار و گریزان تأکید می‌کند.

دستگاه‌های SOHO به خطر افتاده می‌توانند به عواقب جدی منجر شوند

در یک دستورالعمل اجرایی الزام آور (BOD) که اخیراً توسط آژانس امنیت سایبری و امنیت زیرساخت (CISA) صادر شده است، آژانس های فدرال ایالات متحده موظف شده اند اقدامات فوری را برای ایمن سازی تجهیزات شبکه در معرض اینترنت از جمله روترهای SOHO انجام دهند. این دستورالعمل سازمان‌های فدرال را ملزم می‌کند که این دستگاه‌ها را ظرف 14 روز پس از کشف تقویت کنند تا از تلاش‌های بالقوه نقض جلوگیری کنند.

دلیل این فوریت این است که به خطر انداختن موفقیت آمیز چنین دستگاه هایی به بازیگران تهدید این امکان را می دهد که مسیریاب های در معرض خطر را در زیرساخت حمله خود بگنجانند. این به نوبه خود به عنوان سکوی پرتابی برای حرکت جانبی به داخل شبکه های داخلی نهادهای هدف عمل می کند، همانطور که CISA در هشدار خود تأکید کرده است.

استفاده از AVrecon توسط عوامل تهدید یک هدف دوگانه را دنبال می کند: پروکسی کردن ترافیک و درگیر شدن در فعالیت های شرورانه مانند پاشش رمز عبور. این شیوه عملکرد متمایز آن را از اکتشافات قبلی ما در مورد بدافزار مبتنی بر روتر، که عمدتاً بر هدف‌یابی مستقیم شبکه متمرکز بود، متمایز می‌کند.

شدت این تهدید از این واقعیت ناشی می شود که روترهای SOHO معمولاً خارج از محیط امنیتی معمولی کار می کنند. در نتیجه، توانایی مدافعان در تشخیص فعالیت های ناامن به طور قابل توجهی کاهش می یابد. این وضعیت اهمیت حیاتی ایمن سازی سریع این دستگاه ها را برای کاهش خطر نقض احتمالی و افزایش امنیت کلی شبکه برجسته می کند.