AVrecon Botnet Malware

2021 májusától kezdődően az AVrecon néven ismert, nagyon rejtett Linux kártevőt több mint 70 000 kis irodai/otthoni irodai (SOHO) routerbe hatoltak be, amelyek Linux-alapú rendszereken működnek. Ezeket a kompromittált útválasztókat ezután beépítik egy botnetbe, és kettős célt szolgálnak: ellopják a sávszélességet és létrehoznak egy rejtett lakossági proxyszolgáltatást. Az infosec szakértői szerint az AVrecon által kompromittált 70 000 eszközből körülbelül 40 000 került botnetbe.

Ennek a botnetnek a használatával az AVrecon üzemeltetői hatékonyan elrejthetik a káros vállalkozások sorát. Ezek a tevékenységek széles spektrumot ölelnek fel, a csalárd digitális hirdetési sémáktól a jelszavas támadásokig. A rejtett lakossági proxy szolgáltatás elérhetősége lehetőséget biztosít számukra, hogy anonimizálják tevékenységeiket, és kihasználják a feltört hálózati infrastruktúrát, hogy észrevétlenül végezzék aljas tevékenységeiket.

Az AVrecon malware csendesen működik a feltört eszközökön

A 2021 májusi kezdeti észlelése óta az AVrecon figyelemreméltó képességet mutatott az észlelés elkerülésére. Kezdetben a Netgear útválasztókat célozta meg, és több mint két évig sikerült észrevétlenül maradnia, és folyamatosan bővítette hatókörét új botok behálózásával. Ez a könyörtelen növekedés késztette arra, hogy az utóbbi idők egyik legnagyobb botnetjévé váljon, amely a kis irodai/otthoni irodai (SOHO) útválasztókat célozza meg.

Úgy tűnik, hogy a kártevő mögött fenyegető szereplők stratégiailag a SOHO-eszközök kihasználására összpontosítottak, amelyeket a felhasználók kevésbé tudtak javítani az ismert sebezhetőségek és kitettségek (CVE-k) ellen. Óvatosabb megközelítést alkalmazva a kezelők hosszabb ideig tudtak lopakodni, és több mint két évig elkerülték az észlelést. A rosszindulatú program rejtett jellege azt jelentette, hogy a fertőzött eszközök tulajdonosai ritkán tapasztaltak észrevehető szolgáltatási zavarokat vagy sávszélesség-csökkenést, ami tovább tette lehetővé a botnet észrevétlenül fennmaradását.

Amint egy útválasztó megfertőződött, a rosszindulatú program továbbítja a feltört eszköz információit egy beágyazott Command-and-Control (C2) szervernek. Ezt követően a feltört gép utasításokat kap a kommunikáció létrehozására másodlagos C2 szerverként ismert külön szerverkészlettel. Vizsgálatuk során a biztonsági kutatók összesen 15 második szintű vezérlőszervert azonosítottak. Ezek a szerverek legalább 2021 októbere óta működnek, az x.509 tanúsítvány információi szerint.

Ezeknek a második fokozatú C2-szervereknek a jelenléte kiemeli a rosszindulatú programok mögött meghúzódó fenyegetés szereplői által alkalmazott kifinomult infrastruktúrát és szervezetet. Tovább hangsúlyozza azokat a kihívásokat, amelyekkel a kiberbiztonsági szakértők szembesülnek e tartós és megfoghatatlan botnet leküzdése és hatásainak mérséklése során.

A kompromittált SOHO-eszközök súlyos következményekhez vezethetnek

A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) által a közelmúltban kiadott kötelező érvényű működési irányelv (BOD) értelmében az Egyesült Államok szövetségi ügynökségei azonnali lépéseket tettek az internetnek kitett hálózati berendezések, köztük a SOHO útválasztók biztonságossá tétele érdekében. Ez az irányelv előírja a szövetségi ügynökségeknek, hogy a felfedezést követő 14 napon belül megerősítsék ezeket az eszközöket, hogy megakadályozzák az esetleges jogsértési kísérleteket.

Ennek a sürgősségnek az az oka, hogy az ilyen eszközök sikeres kompromisszuma lehetővé tenné a fenyegetés szereplői számára, hogy a veszélyeztetett útválasztókat beépítsék támadási infrastruktúrájukba. Ez pedig kiindulópontként szolgálna a megcélzott entitások belső hálózataiba történő oldalirányú mozgáshoz, amint azt a CISA figyelmeztetésében hangsúlyozta.

Az AVrecon fenyegetés szereplők általi felhasználása kettős célt szolgál: a forgalom proxyját és olyan aljas tevékenységeket, mint például a jelszavak szórása. Ez a sajátos működési mód különbözteti meg a router-alapú rosszindulatú programok korábbi felfedezéseinktől, amelyek elsősorban a közvetlen hálózati célzásra összpontosítottak.

A fenyegetés súlyossága abból adódik, hogy a SOHO routerek jellemzően a hagyományos biztonsági határokon kívül működnek. Következésképpen a védők azon képessége, hogy észleljék a nem biztonságos tevékenységeket, jelentősen csökken. Ez a helyzet rávilágít arra, hogy rendkívül fontos ezeknek az eszközöknek a mielőbbi biztonságossá tétele, hogy csökkentsék az esetleges jogsértések kockázatát és javítsák az általános hálózatbiztonságot.