AVrecon Botnet zlonamjerni softver

Od svibnja 2021. nadalje, vrlo tajni zlonamjerni softver za Linux poznat kao AVrecon korišten je za infiltraciju u više od 70.000 usmjerivača za male urede/kuće (SOHO) koji rade na sustavima temeljenim na Linuxu. Ovi kompromitirani usmjerivači zatim se ugrađuju u botnet, služeći dvostrukoj svrsi: krađi propusnosti i uspostavljanju skrivene rezidencijalne proxy usluge. Prema stručnjacima za infosec, od 70 000 uređaja koje je kompromitirao AVrecon, oko 40 000 bilo je ugrađeno u botnet.

Korištenjem ove bot mreže, operateri AVrecona mogu učinkovito prikriti niz štetnih poduhvata. Ove aktivnosti obuhvaćaju širok spektar, u rasponu od lažnih shema digitalnog oglašavanja do napada raspršivanjem lozinki. Dostupnost skrivene rezidencijalne proxy usluge pruža im način da anonimiziraju svoje operacije i iskoriste kompromitiranu mrežnu infrastrukturu kako bi neotkriveno obavljali svoje opake aktivnosti.

Zlonamjerni softver AVrecon radi tiho na oštećenim uređajima

Od svog prvog otkrivanja u svibnju 2021., AVrecon je pokazao izvanrednu sposobnost izbjegavanja otkrivanja. U početku je ciljao na Netgear usmjerivače i uspio je ostati neprimijećen više od dvije godine, neprestano šireći svoj doseg hvatajući nove robote. Ovaj neumorni rast ga je potaknuo da postane jedan od najvećih botneta koji ciljaju usmjerivače za male urede/kuće (SOHO) u novije vrijeme.

Čini se da su akteri prijetnji koji stoje iza ovog zlonamjernog softvera strateški usredotočeni na iskorištavanje SOHO uređaja za koje je manje vjerojatno da će ih korisnici zakrpati protiv poznatih ranjivosti i izloženosti (CVE). Usvajanjem opreznijeg pristupa, operateri su mogli tajno djelovati duže vrijeme, izbjegavajući otkrivanje više od dvije godine. Prikrivena priroda zlonamjernog softvera značila je da su vlasnici zaraženih uređaja rijetko doživljavali primjetne prekide usluge ili gubitak propusnosti, što je dodatno omogućilo da botnet ostane neotkriven.

Nakon što je usmjerivač zaražen, zlonamjerni softver nastavlja s prijenosom informacija o kompromitiranom uređaju na ugrađeni Command-and-Control (C2) poslužitelj. Nakon toga, hakirani stroj prima upute za uspostavljanje komunikacije s zasebnim skupom poslužitelja poznatih kao C2 poslužitelji drugog stupnja. Tijekom svoje istrage, sigurnosni istraživači identificirali su ukupno 15 kontrolnih poslužitelja drugog stupnja. Ovi poslužitelji rade najmanje od listopada 2021., kako je utvrđeno informacijama x.509 certifikata.

Prisutnost ovih C2 poslužitelja drugog stupnja naglašava sofisticiranu infrastrukturu i organizaciju koju koriste prijetnje koje stoje iza zlonamjernog softvera. Dalje naglašava izazove s kojima se suočavaju stručnjaci za kibernetičku sigurnost u borbi protiv i ublažavanju utjecaja ovog postojanog i nedostižnog botneta.

Ugroženi SOHO uređaji mogu dovesti do ozbiljnih posljedica

U obvezujućoj operativnoj direktivi (BOD) koju je nedavno izdala Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA), savezne agencije SAD-a dobile su mandat da poduzmu hitne mjere za osiguranje mrežne opreme izložene Internetu, uključujući SOHO usmjerivače. Ova direktiva zahtijeva od saveznih agencija da ojačaju ove uređaje u roku od 14 dana od otkrića kako bi spriječili potencijalne pokušaje kršenja.

Razlog za ovu hitnost je taj što bi uspješna kompromitacija takvih uređaja akterima prijetnji omogućila da ugrade kompromitirane usmjerivače u svoju infrastrukturu napada. To bi zauzvrat poslužilo kao lansirna rampa za bočno kretanje u interne mreže ciljanih subjekata, kao što je CISA naglasila u svom upozorenju.

Korištenje AVrecona od strane aktera prijetnji ima dvostruku svrhu: proxy promet i sudjelovanje u opakim aktivnostima kao što je raspršivanje lozinki. Ovaj poseban modus operandi razlikuje ga od naših prethodnih otkrića zlonamjernog softvera temeljenog na usmjerivačima, koji je primarno bio usmjeren na izravno ciljanje mreže.

Ozbiljnost ove prijetnje proizlazi iz činjenice da SOHO usmjerivači obično rade izvan konvencionalnog sigurnosnog perimetra. Posljedično, sposobnost branitelja da detektiraju nesigurne aktivnosti značajno je smanjena. Ova situacija naglašava ključnu važnost brzog osiguravanja ovih uređaja kako bi se smanjio rizik od mogućih provala i poboljšala ukupna sigurnost mreže.