AIRASHI Botnet
Ranjivost nultog dana u cnPilot usmjerivačima tvrtke Cambium Networks postala je najnoviji alat za kibernetičke kriminalce koji postavljaju AISURU botnet varijantu poznatu kao AIRASHI. Ova kampanja, aktivna od lipnja 2024., iskorištava grešku za orkestriranje snažnih napada Distributed Denial-of-Service (DDoS). Sigurnosni istraživači zatajili su detalje o ranjivosti kako bi ograničili njezinu zlouporabu dok istraga traje.
Sadržaj
Povijest iskorištenih ranjivosti
AIRASHI botnet nije ograničen na jedan vektor napada. Oružano koristi niz ranjivosti, uključujući CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 i drugi nedostaci pronađeni u AVTECH IP kamerama, LILIN DVR-ovima i Shenzhen TVT uređajima. Iskorištavanjem ovog širokog spektra slabosti, AIRASHI nastavlja rasti svoj doseg i sofisticiranost.
Mogućnosti DDoS napada: Pogled izbliza
Operateri koji stoje iza AIRASHI-ja ne stide se svojih aktivnosti, objavljujući rezultate testiranja DDoS mogućnosti svog botneta na Telegramu. Povijesni podaci otkrivaju da se njegov kapacitet napada stabilizira oko 1-3 Tbps. Geografski gledano, većina kompromitiranih uređaja nalazi se u Brazilu, Rusiji, Vijetnamu i Indoneziji. Međutim, mete su koncentrirane u regijama poput Kine, Sjedinjenih Država, Poljske i Rusije, gdje su štetne operacije botneta izazvale najviše poremećaja.
Evolucija AISURU-a u AIRASHI
AIRASHI proizlazi iz AISURU botneta, koji je prethodno identificiran u kolovozu 2024. tijekom visokoprofilnog DDoS napada na Steam, koji se poklopio s izlaskom igre Black Myth: Wukong. Nakon privremenog prekida rada u rujnu 2024., botnet se ponovno pojavio s ažuriranim značajkama pod kodnim nazivom "kitty" i dodatno je preinačen u AIRASHI do studenog.
Botnet dvostruke namjene: AIRASHI-DDoS i AIRASHI-Proxy
AIRASHI djeluje u dva različita oblika:
- AIRASHI-DDoS : Otkrivena krajem listopada 2024., ova se varijanta usredotočuje na DDoS napade, ali proširuje svoje mogućnosti uključivanjem proizvoljnog izvršavanja naredbi i obrnutog pristupa ljusci.
- AIRASHI-Proxy : Predstavljena u prosincu 2024., ova varijacija dodaje funkciju proxyja, signalizirajući diverzifikaciju usluga izvan DDoS operacija.
Unapređenje komunikacije i šifriranja
Kako bi osigurao sigurne i učinkovite operacije, AIRASHI koristi novi mrežni protokol koji koristi HMAC-SHA256 i CHACHA20 algoritme enkripcije. Dok AIRASHI-DDoS podržava 13 različitih vrsta poruka, AIRASHI-Proxy koristi jednostavniji pristup s pet. Osim toga, botnet dinamički prilagođava svoje metode za dohvaćanje podataka Command-and-Control (C2) poslužitelja putem DNS upita.
Botneti i IoT uređaji: stalna cyber prijetnja
Nalazi naglašavaju ustrajno iskorištavanje ranjivosti IoT uređaja od strane kibernetičkih kriminalaca. IoT uređaji služe i kao ulazna točka za loše aktere i kao temelj za izgradnju robusnih botneta. Iskorištavanjem ovih kompromitiranih uređaja akteri prijetnji pojačavaju snagu DDoS napada, pokazujući kritičnu potrebu za poboljšanom sigurnošću uređaja u IoT ekosustavu.
