תוכנת זדונית של AVrecon Botnet

ממאי 2021 ואילך, תוכנת זדונית לינוקס סמויה ביותר, המכונה AVrecon, הופעלה כדי לחדור ליותר מ-70,000 נתבים קטנים למשרד/משרד ביתי (SOHO) הפועלים על מערכות מבוססות לינוקס. הנתבים שנפגעו משולבים לאחר מכן ב-botnet, ומשרתים מטרה כפולה: גניבת רוחב פס והקמת שירות פרוקסי סמוי למגורים. על פי מומחי infosec, מתוך 70,000 המכשירים שנפרצו על ידי AVrecon, כ-40,000 שולבו בבוטנט.

על ידי שימוש בבוטנט זה, המפעילים של AVrecon יכולים להסתיר ביעילות מערך של התחייבויות מזיקות. פעילויות אלה מקיפות קשת רחבה, החל מתכניות פרסום דיגיטלי הונאה ועד להתקפות ריסוס סיסמאות. הזמינות של שירות פרוקסי נסתר למגורים מספקת להם אמצעים לאנונימיים את פעולותיהם ולנצל את תשתית הרשת שנפגעה כדי לבצע את הפעילויות המרושעות שלהם ללא זיהוי.

התוכנה הזדונית של AVrecon פועלת בשקט על המכשירים שנפרצו

מאז הזיהוי הראשוני שלה במאי 2021, AVrecon הוכיחה יכולת יוצאת דופן להתחמק מגילוי. הוא כיוון בתחילה לנתבי Netgear והצליח להישאר בלתי מזוהה במשך יותר משנתיים, והרחיב בהתמדה את טווח ההגעה שלו על ידי לכידת בוטים חדשים. הצמיחה הבלתי פוסקת הזו הניעה אותו להפוך לאחת הבוטנטים הגדולים ביותר המכוונים לנתבים למשרדים/משרד ביתי (SOHO) בתקופה האחרונה.

נראה שגורמי האיום שמאחורי התוכנה הזדונית הזו התמקדו אסטרטגית בניצול מכשירי SOHO שמשתמשים נטו פחות לתקן נגד פגיעויות וחשיפות ידועות (CVEs). על ידי אימוץ גישה זהירה יותר, המפעילים הצליחו לפעול בגניבה למשך תקופה ממושכת, תוך התחמקות מגילוי במשך יותר משנתיים. האופי החשאי של התוכנה הזדונית גרם לכך שבעלי מכשירים נגועים רק לעתים רחוקות חוו שיבושי שירות בולטים או אובדן רוחב פס, מה שאיפשר עוד יותר לרשת הבוט להתמיד ללא זיהוי.

ברגע שנתב נדבק, התוכנה הזדונית ממשיכה לשדר את המידע של המכשיר שנפגע לשרת פקודה ושליטה (C2) מוטבע. לאחר מכן, המכונה שנפרצה מקבלת הוראות ליצור תקשורת עם קבוצה נפרדת של שרתים המכונה שרתי C2 בשלב שני. במהלך חקירתם, חוקרי אבטחה זיהו בסך הכל 15 שרתי בקרה בשלב שני. שרתים אלו פעילים לפחות מאז אוקטובר 2021, כפי שנקבע על פי מידע אישור x.509.

הנוכחות של שרתי C2 בשלב שני אלה מדגישה את התשתית והארגון המתוחכמים המופעלים על ידי גורמי האיום שמאחורי התוכנה הזדונית. זה מדגיש עוד יותר את האתגרים העומדים בפני מומחי אבטחת סייבר במאבק והפחתת ההשפעה של הבוטנט המתמשך והחמקמק הזה.

התקני SOHO שנפגעו עלולים להוביל לתוצאות חמורות

בהנחיה תפעולית מחייבת (BOD) שהוצאה לאחרונה על ידי הסוכנות לאבטחת סייבר ותשתיות (CISA), סוכנויות פדרליות בארה"ב קיבלו מנדט לנקוט פעולה מיידית לאבטחת ציוד רשת חשוף לאינטרנט, כולל נתבי SOHO. הנחיה זו מחייבת סוכנויות פדרליות לחזק את המכשירים הללו תוך 14 ימים מרגע הגילוי כדי למנוע ניסיונות פריצה אפשריים.

הסיבה מאחורי הדחיפות הזו היא שפשרה מוצלחת של מכשירים כאלה תעניק לשחקני איומים את היכולת לשלב את הנתבים שנפגעו בתשתית התקיפה שלהם. זה, בתורו, ישמש כנקודת שיגור לתנועה לרוחב לתוך הרשתות הפנימיות של ישויות ממוקדות, כפי שהדגיש CISA באזהרתן.

השימוש ב-AVrecon על ידי גורמי איומים משרת מטרה כפולה: העברת תעבורה באמצעות פרוקסי ועיסוק בפעילויות מרושעות כגון ריסוס סיסמאות. אופן הפעולה המובחן הזה מבדיל אותו מהגילויים הקודמים שלנו של תוכנות זדוניות מבוססות נתב, שהתמקדו בעיקר במיקוד ישיר לרשת.

חומרת האיום הזה נובעת מהעובדה שנתבי SOHO פועלים בדרך כלל מחוץ להיקף האבטחה המקובל. כתוצאה מכך, היכולת של המגינים לזהות פעילויות לא בטוחות פוחתת באופן משמעותי. מצב זה מדגיש את החשיבות הקריטית של אבטחת מכשירים אלה באופן מיידי כדי להפחית את הסיכון של הפרות אפשריות ולשפר את אבטחת הרשת הכוללת.