AIRASHI robotų tinklas
Nulinės dienos pažeidžiamumas Cambium Networks cnPilot maršrutizatoriuose tapo naujausiu įrankiu kibernetiniams nusikaltėliams, diegiantiems AISURU botneto variantą, žinomą kaip AIRASHI. Ši kampanija, aktyvi nuo 2024 m. birželio mėn., išnaudoja trūkumą, kad surengtų galingas paskirstytojo paslaugų atsisakymo (DDoS) atakas. Kol vyksta tyrimai, saugumo tyrėjai nuslėpė konkrečią informaciją apie pažeidžiamumą, kad būtų apribotas piktnaudžiavimas juo.
Turinys
Išnaudotų pažeidžiamumų istorija
AIRASHI botnetas neapsiriboja vienu atakos vektoriumi. Jis apginkluoja daugybę pažeidžiamumų, įskaitant CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8510, CVE-2020-85103, CVE-5 CVE-2022-40005, CVE-2022-44149, CVE-2023-287 ir kiti trūkumai, rasti AVTECH IP kamerose, LILIN DVR ir Shenzhen TVT įrenginiuose. Išnaudodama šį platų trūkumų spektrą, AIRASHI toliau didina savo pasiekiamumą ir rafinuotumą.
DDoS atakos galimybės: žvilgsnis iš arčiau
„AIRASHI“ operatoriai nesidrovi savo veikla ir „Telegram“ skelbia savo botneto DDoS galimybių testavimo rezultatus. Istoriniai duomenys rodo, kad jo atakos pajėgumas stabilizuojasi apie 1–3 Tbps. Geografiškai dauguma pažeistų įrenginių yra Brazilijoje, Rusijoje, Vietname ir Indonezijoje. Tačiau taikiniai sutelkti tokiuose regionuose kaip Kinija, JAV, Lenkija ir Rusija, kur žalingos botneto operacijos sukėlė daugiausiai sutrikimų.
AISURU evoliucija į AIRASHI
AIRASHI kyla iš AISURU botneto, kuris anksčiau buvo identifikuotas 2024 m. rugpjūčio mėn. per didelio atgarsio sulaukusią DDoS ataką prieš Steam, kuri sutapo su žaidimo Black Myth: Wukong išleidimu. 2024 m. rugsėjį laikinai sustabdęs savo veiklą, botnetas vėl atsirado su atnaujintomis funkcijomis, kodiniu pavadinimu „kitty“, o iki lapkričio buvo toliau atnaujintas kaip AIRASHI.
Dvigubos paskirties robotų tinklas: AIRASHI-DDoS ir AIRASHI-proxy
AIRASHI veikia dviem skirtingomis formomis:
- AIRASHI-DDoS : aptiktas 2024 m. spalio pabaigoje, šis variantas daugiausia dėmesio skiria DDoS atakoms, tačiau išplečia jo galimybes, įtraukiant savavališką komandų vykdymą ir atvirkštinę prieigą prie apvalkalo.
- AIRASHI tarpinis serveris : pristatytas 2024 m. gruodį, šis variantas prideda tarpinio serverio funkcionalumą, o tai rodo paslaugų įvairinimą, ne tik DDoS operacijas.
Ryšio ir šifravimo tobulinimas
Siekdama užtikrinti saugią ir efektyvią veiklą, AIRASHI naudoja naują tinklo protokolą, kuriame naudojami HMAC-SHA256 ir CHACHA20 šifravimo algoritmai. Nors AIRASHI-DDoS palaiko 13 skirtingų pranešimų tipų, AIRASHI-Proxy naudoja supaprastintą metodą su penkiais. Be to, robotų tinklas dinamiškai koreguoja savo metodus, kad gautų Command-and-Control (C2) serverio informaciją per DNS užklausas.
Botnetai ir IoT įrenginiai: nuolatinė kibernetinė grėsmė
Išvadose pabrėžiama, kad kibernetiniai nusikaltėliai nuolat naudojasi daiktų interneto įrenginių pažeidžiamumu. IoT įrenginiai yra ir blogų veikėjų įėjimo taškas, ir tvirtų robotų tinklų kūrimo pagrindas. Naudodami šiuos pažeistus įrenginius, grėsmės veikėjai sustiprina DDoS atakų galią, parodydami esminį poreikį didinti įrenginių saugumą daiktų interneto ekosistemoje.
