„AVrecon Botnet“ kenkėjiška programa

Nuo 2021 m. gegužės mėn. buvo naudojama labai slapta Linux kenkėjiška programa, žinoma kaip AVrecon, siekiant įsiskverbti į daugiau nei 70 000 mažo biuro / namų biuro (SOHO) maršrutizatorių, veikiančių Linux pagrindu veikiančiose sistemose. Tada šie pažeisti maršruto parinktuvai įjungiami į robotų tinklą ir atlieka dvejopą paskirtį: apiplėšia pralaidumą ir sukuria paslėptą tarpinio serverio paslaugą. „Infosec“ ekspertų teigimu, iš 70 000 „AVrecon“ pažeistų įrenginių maždaug 40 000 buvo įtraukti į robotų tinklą.

Naudodamiesi šiuo botnetu, AVrecon operatoriai gali veiksmingai nuslėpti daugybę žalingų įsipareigojimų. Ši veikla apima platų spektrą – nuo nesąžiningų skaitmeninės reklamos schemų iki slaptažodžių išpurškimo atakų. Paslėpto tarpinio serverio paslauga suteikia jiems galimybę anonimizuoti savo veiklą ir išnaudoti pažeistą tinklo infrastruktūrą, kad nepastebimai galėtų atlikti savo niekšingą veiklą.

„AVrecon“ kenkėjiška programa pažeidžiamuose įrenginiuose veikia tyliai

Nuo pirminio aptikimo 2021 m. gegužę „AVrecon“ įrodė puikų sugebėjimą išvengti aptikimo. Iš pradžių jis buvo nukreiptas į „Netgear“ maršrutizatorius ir sugebėjo likti nepastebėtas daugiau nei dvejus metus, nuolat plečiant savo pasiekiamumą gaudydamas naujus robotus. Dėl šio nenumaldomo augimo pastaruoju metu jis tapo vienu didžiausių botnetų, skirtų mažų biuro / namų biuro (SOHO) maršrutizatoriams.

Atrodo, kad šios kenkėjiškos programos grėsmės veikėjai strategiškai sutelkė dėmesį į SOHO įrenginių išnaudojimą, kuriuos vartotojai buvo mažiau linkę pataisyti nuo žinomų pažeidžiamumų ir poveikio (CVE). Laikydamiesi atsargesnio požiūrio, operatoriai galėjo dirbti slaptai ilgą laiką, išvengdami aptikimo daugiau nei dvejus metus. Dėl slapto kenkėjiškų programų pobūdžio užkrėstų įrenginių savininkai retai patyrė pastebimų paslaugų trikdžių ar pralaidumo praradimo, todėl robotų tinklas galėjo išlikti nepastebėtas.

Kai maršruto parinktuvas yra užkrėstas, kenkėjiška programa perduoda pažeisto įrenginio informaciją į įterptąjį komandų ir valdymo (C2) serverį. Vėliau įsilaužęs įrenginys gauna nurodymus užmegzti ryšį su atskiru serverių rinkiniu, vadinamu antrosios pakopos C2 serveriais. Tyrimo metu saugumo tyrėjai iš viso nustatė 15 antrosios pakopos valdymo serverių. Šie serveriai veikė mažiausiai nuo 2021 m. spalio mėn., kaip nustatyta pagal x.509 sertifikato informaciją.

Šių antrosios pakopos C2 serverių buvimas pabrėžia sudėtingą infrastruktūrą ir organizaciją, kurią naudoja kenkėjiškų programų grėsmės veikėjai. Jame dar labiau pabrėžiami iššūkiai, su kuriais susiduria kibernetinio saugumo ekspertai, kovojant su šio nuolatinio ir sunkiai pasiekiamo botneto poveikiu ir jį sušvelninant.

Sukompromituoti SOHO įrenginiai gali sukelti rimtų pasekmių

Neseniai Kibernetinio saugumo ir infrastruktūros saugumo agentūros (CISA) paskelbtoje privalomoje veiklos direktyvoje (BOD) JAV federalinės agentūros buvo įpareigotos nedelsiant imtis veiksmų, kad būtų apsaugota internete veikiama tinklo įranga, įskaitant SOHO maršrutizatorius. Ši direktyva reikalauja, kad federalinės agentūros sustiprintų šiuos įrenginius per 14 dienų nuo aptikimo, kad būtų išvengta galimų bandymų pažeisti.

Šios skubos priežastis yra ta, kad sėkmingas tokių įrenginių kompromisas suteiktų grėsmės subjektams galimybę įtraukti pažeistus maršrutizatorius į savo atakų infrastruktūrą. Tai savo ruožtu pasitarnautų kaip paleidimo aikštelė šoniniam judėjimui į tikslinių subjektų vidinius tinklus, kaip pabrėžė CISA savo įspėjime.

Grėsmių subjektai naudoja AVrecon dviem tikslais: tarpinio serverio srautą ir niekšingą veiklą, pvz., slaptažodžių purškimą. Šis išskirtinis veikimo būdas išskiria jį iš ankstesnių maršruto parinktuvu pagrįstų kenkėjiškų programų atradimų, kurie daugiausia buvo skirti tiesioginiam taikymui tinkle.

Šios grėsmės sunkumas kyla dėl to, kad SOHO maršrutizatoriai paprastai veikia už įprasto saugumo perimetro. Vadinasi, gynėjų galimybės aptikti nesaugią veiklą gerokai sumažėja. Ši situacija pabrėžia, kad labai svarbu nedelsiant apsaugoti šiuos įrenginius, kad būtų sumažinta galimų pažeidimų rizika ir padidintas bendras tinklo saugumas.