Botnet AIRASHI

Una vulnerabilità zero-day nei router cnPilot di Cambium Networks è diventata l'ultimo strumento per i criminali informatici che distribuiscono una variante di botnet AISURU nota come AIRASHI. Questa campagna, attiva da giugno 2024, sfrutta la falla per orchestrare potenti attacchi Distributed Denial-of-Service (DDoS). I ricercatori di sicurezza hanno omesso dettagli specifici sulla vulnerabilità per limitarne l'uso improprio mentre sono in corso le indagini.

Una storia di vulnerabilità sfruttate

La botnet AIRASHI non è limitata a un singolo vettore di attacco. Utilizza come arma una serie di vulnerabilità, tra cui CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 e altri difetti riscontrati nelle telecamere IP AVTECH, nei DVR LILIN e nei dispositivi TVT Shenzhen. Sfruttando questo ampio spettro di debolezze, AIRASHI continua ad aumentare la sua portata e sofisticatezza.

Capacità di attacco DDoS: uno sguardo più da vicino

Gli operatori dietro AIRASHI non sono timidi riguardo alle loro attività, pubblicando i risultati dei test sulle capacità DDoS della loro botnet su Telegram. I dati storici rivelano che la sua capacità di attacco si stabilizza intorno a 1-3 Tbps. Geograficamente, la maggior parte dei dispositivi compromessi si trova in Brasile, Russia, Vietnam e Indonesia. Tuttavia, gli obiettivi sono concentrati in regioni come Cina, Stati Uniti, Polonia e Russia, dove le operazioni dannose della botnet hanno causato la maggior parte dei disagi.

L'evoluzione di AISURU in AIRASHI

AIRASHI deriva dalla botnet AISURU, precedentemente identificata nell'agosto 2024 durante un attacco DDoS di alto profilo su Steam, che ha coinciso con l'uscita del gioco Black Myth: Wukong. Dopo aver temporaneamente interrotto le sue operazioni nel settembre 2024, la botnet è riemersa con funzionalità aggiornate con nome in codice "kitty" ed è stata ulteriormente rinnovata come AIRASHI entro novembre.

Una botnet a doppio scopo: AIRASHI-DDoS e AIRASHI-Proxy

AIRASHI opera in due forme distinte:

• AIRASHI-DDoS : rilevata a fine ottobre 2024, questa variante si concentra sugli attacchi DDoS ma estende le sue capacità per includere l'esecuzione di comandi arbitrari e l'accesso reverse shell.
• AIRASHI-Proxy : presentata nel dicembre 2024, questa variante aggiunge funzionalità proxy, segnalando una diversificazione dei servizi oltre alle operazioni DDoS.

Avanzamento della comunicazione e della crittografia

Per garantire operazioni sicure ed efficienti, AIRASHI impiega un nuovo protocollo di rete che sfrutta gli algoritmi di crittografia HMAC-SHA256 e CHACHA20. Mentre AIRASHI-DDoS supporta 13 tipi di messaggi distinti, AIRASHI-Proxy utilizza un approccio più snello con cinque. Inoltre, la botnet adatta dinamicamente i suoi metodi per recuperare i dettagli del server Command-and-Control (C2) tramite query DNS.

Botnet e dispositivi IoT: una minaccia informatica persistente

I risultati evidenziano lo sfruttamento persistente da parte dei criminali informatici delle vulnerabilità dei dispositivi IoT. I dispositivi IoT fungono sia da punto di ingresso per i malintenzionati sia da fondamento per la creazione di botnet robuste. Sfruttando questi dispositivi compromessi, gli autori delle minacce amplificano la potenza degli attacchi DDoS, evidenziando la necessità critica di una maggiore sicurezza dei dispositivi nell'ecosistema IoT.