AVrecon Botnet -haittaohjelma

Toukokuusta 2021 lähtien erittäin salainen Linux-haittaohjelma, nimeltään AVrecon, on tunkeutunut yli 70 000 SOHO-reitittimeen, jotka toimivat Linux-pohjaisissa järjestelmissä. Nämä vaarantuneet reitittimet liitetään sitten botnet-verkkoon, ja niillä on kaksi tarkoitusta: kaistanleveyden varastaminen ja piilotetun välityspalvelimen perustaminen. Infosecin asiantuntijoiden mukaan AVreconin vaarantamasta 70 000 laitteesta noin 40 000 liitettiin bottiverkkoon.

Tätä bottiverkkoa hyödyntämällä AVreconin operaattorit voivat tehokkaasti salata joukon haitallisia yrityksiä. Nämä toiminnot kattavat laajan kirjon, joka ulottuu vilpillisistä digitaalisista mainontajärjestelmistä salasanoja ruiskuttaviin hyökkäyksiin. Piilotetun asuinvälityspalvelimen saatavuus tarjoaa heille keinon anonymisoida toimintansa ja hyödyntää vaarantunutta verkkoinfrastruktuuria suorittaakseen ilkeitä toimintojaan huomaamatta.

AVrecon-haittaohjelma toimii äänettömästi rikkoutuneilla laitteilla

Alkuperäisen havaitsemisensa jälkeen toukokuussa 2021 AVrecon on osoittanut huomattavaa kykyä välttää havaitseminen. Se kohdistui alun perin Netgearin reitittimiin ja onnistui pysymään havaitsemattomana yli kahden vuoden ajan laajentaen jatkuvasti kattavuuttaan houkuttelemalla uusia botteja. Tämä säälimätön kasvu on ajanut siitä yhdeksi viime aikojen suurimmista pienten toimisto-/kotitoimistojen (SOHO) reitittimille suunnatuista botneteistä.

Tämän haittaohjelman takana olevat uhkatekijät näyttävät keskittyneen strategisesti SOHO-laitteiden hyödyntämiseen, joita käyttäjät eivät todennäköisesti korjasivat tunnettuja haavoittuvuuksia ja altistumisia (CVE:t) vastaan. Varovaisemman lähestymistavan avulla käyttäjät pystyivät toimimaan salaa pitkän ajan, välttymättä havaitsemisesta yli kaksi vuotta. Haittaohjelman salainen luonne merkitsi sitä, että tartunnan saaneiden laitteiden omistajat kokivat harvoin huomattavia palveluhäiriöitä tai kaistanleveyden menetyksiä, mikä mahdollisti bottiverkon pysymisen havaitsematta.

Kun reititin on saanut tartunnan, haittaohjelma lähettää vaarantuneen laitteen tiedot sulautettuun Command-and-Control (C2) -palvelimeen. Tämän jälkeen hakkeroitu kone vastaanottaa ohjeet yhteyden muodostamiseksi erillisen palvelimen kanssa, joka tunnetaan nimellä toisen vaiheen C2-palvelimet. Tietoturvatutkijat tunnistivat tutkimuksensa aikana yhteensä 15 toisen vaiheen ohjauspalvelinta. Nämä palvelimet ovat olleet toiminnassa ainakin lokakuusta 2021 lähtien x.509-varmennetietojen mukaan.

Näiden toisen vaiheen C2-palvelimien läsnäolo korostaa haittaohjelmien takana olevien uhkatoimijoiden pitkälle kehitettyä infrastruktuuria ja organisaatiota. Se korostaa edelleen haasteita, joita kyberturvallisuusasiantuntijat kohtaavat tämän jatkuvan ja vaikeasti toimivan botnet-verkon vaikutusten torjunnassa ja lieventämisessä.

Vaaralliset SOHO-laitteet voivat johtaa vakaviin seurauksiin

Cybersecurity and Infrastructure Security Agencyn (CISA) äskettäin antamassa sitovassa operatiivisessa direktiivissä (BOD) Yhdysvaltain liittovaltion virastot on valtuutettu ryhtymään välittömiin toimiin Internetille alttiiden verkkolaitteiden, mukaan lukien SOHO-reitittimien, suojaamiseksi. Tämä direktiivi edellyttää, että liittovaltion virastot vahvistavat nämä laitteet 14 päivän kuluessa niiden löytämisestä mahdollisten rikkomusyritysten estämiseksi.

Syy tähän kiireelliseen on se, että tällaisten laitteiden onnistunut kompromissi antaisi uhkatoimijoille mahdollisuuden sisällyttää vaarantuneet reitittimet hyökkäysinfrastruktuuriinsa. Tämä puolestaan toimisi lähtökohtana sivuttaisliikenteelle kohdekokonaisuuksien sisäisiin verkostoihin, kuten CISA korosti varoituksessaan.

Uhkatoimijoiden AVreconin hyödyntämisellä on kaksi tarkoitusta: liikenteen välityspalvelin ja ilkeiden toimintojen, kuten salasanojen ruiskuttaminen. Tämä erilainen toimintatapa erottaa sen aiemmista löydöistämme reititinpohjaisista haittaohjelmista, jotka keskittyivät ensisijaisesti suoraan verkkokohdistukseen.

Tämän uhan vakavuus johtuu siitä, että SOHO-reitittimet toimivat tyypillisesti tavanomaisen suojausalueen ulkopuolella. Tämän seurauksena puolustajien kyky havaita vaarallisia toimia heikkenee merkittävästi. Tämä tilanne korostaa, kuinka tärkeää on suojata nämä laitteet nopeasti mahdollisten tietomurtojen riskin vähentämiseksi ja verkon yleisen turvallisuuden parantamiseksi.