AIRASHI robottīkls
Nulles dienas ievainojamība Cambium Networks cnPilot maršrutētājos ir kļuvusi par jaunāko rīku kibernoziedzniekiem, kas izvieto AISURU robottīkla variantu, kas pazīstams kā AIRASHI. Šī kampaņa, kas ir aktīva kopš 2024. gada jūnija, izmanto trūkumu, lai organizētu jaudīgus izplatīto pakalpojumu atteikuma (DDoS) uzbrukumus. Drošības pētnieki ir noklusējuši konkrētu informāciju par ievainojamību, lai ierobežotu tās ļaunprātīgu izmantošanu, kamēr turpinās izmeklēšana.
Satura rādītājs
Izmantoto ievainojamību vēsture
AIRASHI robottīkls neaprobežojas ar vienu uzbrukuma vektoru. Tas ierocis virkni ievainojamību, tostarp CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8510, CVE-2020-85103, CVE-8510. CVE-2022-40005, CVE-2022-44149, CVE-2023-287 un citi trūkumi, kas atrasti AVTECH IP kamerās, LILIN DVR un Shenzhen TVT ierīcēs. Izmantojot šo plašo trūkumu spektru, AIRASHI turpina palielināt savu sasniedzamību un izsmalcinātību.
DDoS uzbrukuma iespējas: tuvāk
AIRASHI operatori nekautrējas no savām darbībām, ievietojot telegrammā sava robottīkla DDoS iespēju testa rezultātus. Vēsturiskie dati liecina, ka tā uzbrukuma jauda stabilizējas ap 1-3 Tbps. Ģeogrāfiski lielākā daļa apdraudēto ierīču atrodas Brazīlijā, Krievijā, Vjetnamā un Indonēzijā. Tomēr mērķi ir koncentrēti tādos reģionos kā Ķīna, ASV, Polija un Krievija, kur robottīkla kaitīgās darbības ir izraisījušas vislielākos traucējumus.
AISURU evolūcija līdz AIRASHI
AIRASHI izriet no AISURU robottīkla, kas iepriekš tika identificēts 2024. gada augustā augsta līmeņa DDoS uzbrukuma laikā Steam, kas sakrita ar spēles Black Myth: Wukong izlaišanu. Pēc īslaicīgas darbības apturēšanas 2024. gada septembrī robottīkls atkal parādījās ar atjauninātām funkcijām ar koda nosaukumu "kitty", un līdz novembrim tas tika tālāk pārveidots par AIRASHI.
Divkāršs robottīkls: AIRASHI-DDoS un AIRASHI-starpniekserveris
AIRASHI darbojas divos atšķirīgos veidos:
- AIRASHI-DDoS : šis variants tika atklāts 2024. gada oktobra beigās, un tas koncentrējas uz DDoS uzbrukumiem, taču paplašina tā iespējas, iekļaujot patvaļīgu komandu izpildi un apgrieztu čaulas piekļuvi.
- AIRASHI-Starpniekserveris : šī variācija, kas tika prezentēta 2024. gada decembrī, papildina starpniekservera funkcionalitāti, norādot uz pakalpojumu dažādošanu ārpus DDoS darbībām.
Saziņas un šifrēšanas uzlabošana
Lai nodrošinātu drošu un efektīvu darbību, AIRASHI izmanto jaunu tīkla protokolu, izmantojot HMAC-SHA256 un CHACHA20 šifrēšanas algoritmus. Lai gan AIRASHI-DDoS atbalsta 13 dažādus ziņojumu veidus, AIRASHI-Proxy izmanto racionālāku pieeju ar pieciem. Turklāt robottīkls dinamiski pielāgo savas metodes, lai, izmantojot DNS vaicājumus, izgūtu Command-and-Control (C2) servera informāciju.
Bottīkli un IoT ierīces: pastāvīgs kiberdrauds
Rezultāti izceļ kibernoziedznieku pastāvīgo IoT ierīču ievainojamību izmantošanu. IoT ierīces kalpo gan kā ieejas punkts sliktiem dalībniekiem, gan kā pamats stabilu robottīklu veidošanai. Izmantojot šīs apdraudētās ierīces, apdraudējuma dalībnieki pastiprina DDoS uzbrukumu jaudu, parādot kritisko vajadzību pēc uzlabotas ierīču drošības IoT ekosistēmā.
