AIRASHI-bottiverkko
Nollapäivän haavoittuvuudesta Cambium Networksin cnPilot-reitittimissä on tullut uusin työkalu kyberrikollisille, jotka ottavat käyttöön AIRASHI-nimisen AISURU-bottiverkon. Tämä kampanja, joka on ollut aktiivinen kesäkuusta 2024 lähtien, hyödyntää virhettä tehokkaiden hajautetun palvelunestohyökkäyksiä (DDoS) järjestämiseen. Tietoturvatutkijat ovat salaaneet haavoittuvuuden yksityiskohtia rajoittaakseen sen väärinkäyttöä tutkimusten aikana.
Sisällysluettelo
Hyödynnettyjen haavoittuvuuksien historia
AIRASHI-bottiverkko ei rajoitu yhteen hyökkäysvektoriin. Se asettaa useita haavoittuvuuksia, mukaan lukien CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8510, CVE-2020-85103,2-5-8512. CVE-2022-40005, CVE-2022-44149, CVE-2023-287 ja muut AVTECH IP-kameroista, LILIN DVR:istä ja Shenzhen TVT -laitteista löytyneet viat. Hyödyntämällä tätä laajaa heikkouksien kirjoa, AIRASHI jatkaa kattavuuden ja hienostuneisuuden kasvattamista.
DDoS-hyökkäysominaisuudet: Tarkempi katsaus
AIRASHI:n takana olevat operaattorit eivät ujostele toimintaansa ja julkaisevat botnet-verkkonsa DDoS-ominaisuuksien testituloksia Telegramissa. Historialliset tiedot osoittavat, että sen hyökkäyskapasiteetti vakiintuu noin 1-3 Tbps:iin. Maantieteellisesti useimmat vaarantuneet laitteet sijaitsevat Brasiliassa, Venäjällä, Vietnamissa ja Indonesiassa. Kohteet ovat kuitenkin keskittyneet alueille, kuten Kiinaan, Yhdysvaltoihin, Puolaan ja Venäjälle, missä botnetin haitalliset toiminnot ovat aiheuttaneet eniten häiriöitä.
AISURUN evoluutio AIRASHI:ksi
AIRASHI juontaa juurensa AISURU-bottiverkosta, joka tunnistettiin aiemmin elokuussa 2024 korkean profiilin DDoS-hyökkäyksen aikana Steamia vastaan, mikä osui samaan aikaan pelin Black Myth: Wukong julkaisun kanssa. Keskeytettyään toimintansa tilapäisesti syyskuussa 2024, botnet ilmaantui uudelleen päivitetyillä ominaisuuksilla, koodinimeltään "kitty", ja sitä muutettiin edelleen AIRASHIksi marraskuussa.
Kaksikäyttöinen bottiverkko: AIRASHI-DDoS ja AIRASHI-välityspalvelin
AIRASHI toimii kahdessa eri muodossa:
- AIRASHI-DDoS : Tämä versio, joka havaittiin lokakuun lopussa 2024, keskittyy DDoS-hyökkäyksiin, mutta laajentaa sen ominaisuuksia sisältämään mielivaltaisen komentojen suorittamisen ja käänteisen shell-käytön.
- AIRASHI-välityspalvelin : Tämä joulukuussa 2024 julkistettu muunnelma lisää välityspalvelintoimintoja, mikä merkitsee palvelujen monipuolistumista DDoS-toimintojen lisäksi.
Viestinnän ja salauksen edistäminen
Turvallisen ja tehokkaan toiminnan varmistamiseksi AIRASHI käyttää uutta verkkoprotokollaa, joka hyödyntää HMAC-SHA256- ja CHACHA20-salausalgoritmeja. Vaikka AIRASHI-DDoS tukee 13 eri viestityyppiä, AIRASHI-Proxy käyttää virtaviivaisempaa lähestymistapaa viidellä. Lisäksi bottiverkko säätää dynaamisesti menetelmiään noutaakseen Command-and-Control (C2) -palvelimen tiedot DNS-kyselyiden kautta.
Bottiverkot ja IoT-laitteet: jatkuva kyberuhka
Löydökset korostavat kyberrikollisten jatkuvaa IoT-laitteiden haavoittuvuuksien hyödyntämistä. IoT-laitteet toimivat sekä tulopisteenä huonoille toimijoille että perustana kestävien botnettien rakentamiselle. Hyödyntämällä näitä vaarantuneita laitteita uhkatoimijat lisäävät DDoS-hyökkäysten tehoa, mikä osoittaa kriittisen tarpeen parantaa laiteturvallisuutta IoT-ekosysteemissä.
