תוכנה זדונית AryStinger

משפחת תוכנות זדוניות שהתגלתה לאחרונה, בשם AryStinger, הופכת נתבים ביתיים נטושים לרשת סיור ופרוקסי בקנה מידה גדול במקום רשתות בוט מבוזרות מסורתיות של מניעת שירות (DDoS) המקושרות בדרך כלל להתקני רשת שנפרצו. חוקרי אבטחה כבר זיהו לפחות 4,300 נתבים נגועים, והמספר צפוי להמשיך ולגדול.

בניגוד לקמפיינים קונבנציונליים של תוכנות זדוניות המתמקדים בשיבוש שירותים, AryStinger נועד לתמוך בשלבים המוקדמים של חדירות סייבר. מכשירים שנפרצו משמשים לסריקת האינטרנט, זיהוי שירותים פועלים, ספירת תת-דומיינים, מנהור תעבורת רשת וביצוע פקודות מרחוק לפני העברת המידע שנאסף חזרה למפעילים. כל נתב נגוע משמש למעשה גם כצומת סיור וגם כממסר אנונימי שמסתיר את המקור האמיתי של התוקף.

מיקוד בחומרה ישנה ובפגיעויות שנשכחו מזמן

הקמפיין מכוון בעיקר לנתבים המופעלים על ידי ערכות שבבים Realtek RTL819X, חומרה שהייתה בשימוש נרחב בין השנים 2012 ו-2015. חוקרים הבחינו לראשונה בתוכנה הזדונית ב-12 במרץ 2026, כאשר ההדבקות מקורן בכתובת IP אחת.

הנוזקה שנפרסה הייתה קובץ בינארי של לינוקס ELF שבתחילה התחמק מזיהוי על ידי אף מנוע ב-VirusTotal. היא השיגה זיהום על ידי ניצול שתי פגיעויות ישנות יותר:

  • CVE-2013-3307 המשפיע על נתבים מסוימים של Linksys.
  • CVE-2016-5681 משפיע על התקני D-Link ספציפיים.

רוב המערכות שנפגעו הן של D-Link, כאשר דגם DIR-850L אחראי לכ-75 אחוז מההדבקות. מבחינה גיאוגרפית, ההדבקות מרוכזות בדרום קוריאה (48 אחוז) ובסין (32 אחוז), ואחריהן שבדיה, מלזיה וסינגפור.

התרחבות מעבר לנתבים

גרסה שנייה של תוכנה זדונית צצה ב-26 באפריל 2026, כשהיא מכוונת להתקני NAS של QNAP באמצעות CVE-2025-11837, פגיעות הזרקת קוד המשפיעה על כלי ה-Malware Remover של QNAP. למרות שהפגיעות כבר תוקנה בנובמבר 2025, תוקפים החלו לנצל אותה מספר חודשים לאחר מכן.

באופן אירוני, וקטור ההדבקה הוא יישום הסרת התוכנות הזדוניות של מכשיר ה-NAS עצמו. המספר המדווח של 4,300 מערכות שנפגעו כולל רק את נתבי RTL819X הנגועים ואינו מתחשב במכשירי NAS שנפגעו.

תוכנות זדוניות קלות משקל עם יכולות עוצמתיות

גרסת הנתב של AryStinger כתובה בשפת C ונשארת קלת משקל במכוון עקב המשאבים המוגבלים של חומרה ישנה יותר. תפקידיה העיקריים הם סריקת DNS המונית ומנהור תעבורה.

גרסת ה-NAS, שפותחה ב-Go, מספקת יכולות רחבות משמעותית. היא יכולה לסרוק רשתות פנימיות וחיצוניות כאחד ולפרוס כלי סיור כגון fscan, ksubdomain ו-httpx. תכונה המכונה ScriptWork מאפשרת למפעילים להריץ קוד מקור של Go, Java או Python המסופק על ידי התוקף ישירות על המערכת הנגועה, ובכך מבטלת את הצורך לקמפל קבצים בינאריים נפרדים עבור כל מטרה.

תקשורת בין מכשירים נגועים לשרתי פיקוד ובקרה (C2) מתרחשת דרך HTTP ו-HTTPS באמצעות תעבורה מקודדת על ידי Protobuf, המעורפלת בסכימת XOR פשוטה, בעוד שהגרסה מבוססת Go מוסיפה דחיסת gzip. משימות סריקה גדולות מחולקות למקטעים קטנים יותר ומפוזרות על פני רשת הבוטים, מה שמאפשר פעולות סיור מקבילות.

התמדה ופוטנציאל להתעללות

הנוזקה שומרת על גישה ארוכת טווח על ידי פריסת שרת SSH של Dropbear בפורט 2332 עבור נתבים ו-gs-netcat במערכות NAS שנפרצו. החוקרים זיהו גם מפתח אימות קשיח, 'sh_#@!_2024_secret', שהכללתו '2024' עשויה להצביע על כך שפיתוח הפעולה החל באותה שנה, אם כי לא ניתן לאשר זאת בוודאות.

למרות שנראה כי סיור הוא המטרה העיקרית, יכולות סריקת ה-DNS של התוכנה הזדונית יכולות גם להיות מנותבות אל פותרי DNS כדי לייצר תעבורת מניעת שירות בעת הצורך.

דפוס מוכר: רשתות תיבות ממסר מבצעיות

התשתית שנוצרה על ידי AryStinger דומה מאוד לרשתות ORB (Operational Relay Box). רשתות אלו מורכבות מנתבים פגומים ומכשירי IoT המאפשרים לגורמי איום לבצע פעולות סריקה ולהעביר תעבורה זדונית תוך שמירה על קושי לאתר אותם.

הגישה דומה לאירועים קודמים. במאי 2025, ה-FBI ומשרד המשפטים האמריקאי פירקו את שירותי 5socks ו-Anyproxy, אשר הפיקו רווחים מגישה למוצרי פרוקסי ביתיים על ידי ניצול נתבים מיושנים של Linksys ו-Cisco שנדבקו בתוכנה הזדונית של TheMoon. לאחרונה, פעולות ORB כמו LapDogs הסתמכו באופן דומה על פגיעויות שלא תוקנו במכשירים ישנים.

נכון לעכשיו, AryStinger לא יוחס באופן חד משמעי לגורם איום ספציפי. עם זאת, מודל ההפעלה חד משמעי: חומרה מיושנת ופגיעויות נשכחות הופכות לתשתית חשאית התומכת בשלבים הראשוניים של חדירות סייבר מתוחכמות.

אסטרטגיות גילוי והפחתת סיכונים

ארגונים ואנשים פרטיים המפעילים ציוד שעלול להיות מושפע צריכים לחקור באופן מיידי סימנים לפגיעה וליישם אמצעי תיקון ארוכי טווח.

  • ניטור חיבורים יוצאים לשרתי פיקוד ובקרה של AryStinger ודומיינים להורדה.
  • בדוק את הספרייה /tmp/bin עבור קבצים בינאריים לא מוכרים.
  • חפש תהליכים חשודים בשם syswapd0h או syswapd0w.
  • ההגנה היעילה ביותר נותרה פשוטה: להוציא משימוש ציוד רשת שאינו מקבל עוד עדכוני קושחה ולהשבית ניהול מרחוק במכשירים החשופים לאינטרנט במידת האפשר. חומרה שהפסיקה לקבל תיקוני אבטחה לפני שנים, לא צפויה לקבל הגנה מפני איומים מודרניים.

    טוען...