Malware botnet AVrecon

Da maggio 2021 in poi, un malware Linux altamente nascosto noto come AVrecon è stato impiegato per infiltrarsi in più di 70.000 router SOHO (small office/home office) operanti su sistemi basati su Linux. Questi router compromessi vengono quindi incorporati in una botnet, con un duplice scopo: rubare larghezza di banda e stabilire un servizio proxy residenziale nascosto. Secondo gli esperti di infosec, dei 70.000 dispositivi compromessi da AVrecon, circa 40.000 sono stati incorporati in una botnet.

Utilizzando questa botnet, gli operatori di AVrecon possono effettivamente nascondere una serie di attività dannose. Queste attività comprendono un ampio spettro, che va dagli schemi di pubblicità digitale fraudolenta agli attacchi di spruzzatura di password. La disponibilità di un servizio proxy residenziale nascosto fornisce loro un mezzo per rendere anonime le loro operazioni e sfruttare l'infrastruttura di rete compromessa per svolgere le loro nefande attività senza essere rilevati.

Il malware AVrecon opera silenziosamente sui dispositivi violati

Dal suo rilevamento iniziale nel maggio 2021, AVrecon ha dimostrato una notevole capacità di eludere il rilevamento. Inizialmente ha preso di mira i router Netgear ed è riuscito a non essere rilevato per oltre due anni, espandendo costantemente la sua portata intrappolando nuovi bot. Questa crescita inarrestabile l'ha spinta a diventare negli ultimi tempi una delle più grandi botnet rivolte ai router SOHO (small office/home office).

Gli attori delle minacce alla base di questo malware sembrano essersi concentrati strategicamente sullo sfruttamento dei dispositivi SOHO che gli utenti avevano meno probabilità di correggere contro vulnerabilità ed esposizioni note (CVE). Adottando un approccio più cauto, gli operatori sono stati in grado di operare di nascosto per un periodo prolungato, eludendo il rilevamento per oltre due anni. La natura surrettizia del malware ha fatto sì che i proprietari di dispositivi infetti raramente subissero notevoli interruzioni del servizio o perdita di larghezza di banda, consentendo ulteriormente alla botnet di persistere senza essere rilevata.

Una volta che un router è stato infettato, il malware procede a trasmettere le informazioni del dispositivo compromesso a un server Command-and-Control (C2) incorporato. Successivamente, la macchina compromessa riceve le istruzioni per stabilire la comunicazione con un insieme separato di server noti come server C2 di secondo stadio. Durante la loro indagine, i ricercatori di sicurezza hanno identificato un totale di 15 server di controllo di seconda fase. Questi server sono operativi almeno da ottobre 2021, come determinato dalle informazioni sul certificato x.509.

La presenza di questi server C2 di seconda fase evidenzia l'infrastruttura e l'organizzazione sofisticate impiegate dagli autori delle minacce dietro il malware. Sottolinea inoltre le sfide affrontate dagli esperti di sicurezza informatica nel combattere e mitigare l'impatto di questa botnet persistente e sfuggente.

I dispositivi SOHO compromessi potrebbero portare a gravi conseguenze

In una direttiva operativa vincolante (BOD) recentemente emessa dalla Cybersecurity and Infrastructure Security Agency (CISA), le agenzie federali statunitensi sono state incaricate di agire immediatamente per proteggere le apparecchiature di rete esposte a Internet, inclusi i router SOHO. Questa direttiva richiede alle agenzie federali di rafforzare questi dispositivi entro 14 giorni dalla scoperta per prevenire potenziali tentativi di violazione.

Il motivo alla base di questa urgenza è che una compromissione riuscita di tali dispositivi garantirebbe agli attori delle minacce la possibilità di incorporare i router compromessi nella loro infrastruttura di attacco. Questo, a sua volta, servirebbe da trampolino di lancio per il movimento laterale nelle reti interne delle entità prese di mira, come sottolineato dalla CISA nel suo avvertimento.

L'utilizzo di AVrecon da parte degli attori delle minacce ha un duplice scopo: inoltrare il traffico e impegnarsi in attività nefaste come la spruzzatura di password. Questo modus operandi distinto lo distingue dalle nostre precedenti scoperte di malware basato su router, che si concentravano principalmente sul targeting diretto della rete.

La gravità di questa minaccia deriva dal fatto che i router SOHO in genere operano al di fuori del perimetro di sicurezza convenzionale. Di conseguenza, la capacità dei difensori di rilevare attività non sicure è significativamente ridotta. Questa situazione evidenzia l'importanza fondamentale di proteggere tempestivamente questi dispositivi per mitigare il rischio di potenziali violazioni e migliorare la sicurezza complessiva della rete.