Draudu datu bāze Ļaunprātīga programmatūra AryStinger ļaunprogrammatūra

AryStinger ļaunprogrammatūra

Jaunatklāta ļaunprogrammatūru saime ar nosaukumu AryStinger pārveido pamestus mājas maršrutētājus par liela mēroga izlūkošanas un starpniekservera tīklu, nevis tradicionālajiem izkliedētajiem pakalpojuma atteikuma (DDoS) botnetiem, kas parasti saistīti ar apdraudētām tīkla ierīcēm. Drošības pētnieki jau ir identificējuši vismaz 4300 inficētus maršrutētājus, un paredzams, ka to skaits turpinās pieaugt.

Atšķirībā no tradicionālajām ļaunprogrammatūras kampaņām, kas koncentrējas uz pakalpojumu darbības traucēšanu, AryStinger ir izstrādāts, lai atbalstītu kiberuzbrukumu agrīnās stadijas. Apdraudētas ierīces tiek izmantotas, lai skenētu internetu, identificētu darbojošos pakalpojumus, uzskaitītu apakšdomēnus, tunelētu tīkla trafiku un attālināti izpildītu komandas, pirms savāktās informācijas nosūtīšanas atpakaļ operatoriem. Katrs inficētais maršrutētājs efektīvi kalpo gan kā izlūkošanas mezgls, gan kā anonimizācijas relejs, kas slēpj uzbrucēja patieso izcelsmi.

Novecojošas aparatūras un sen aizmirstu ievainojamību novēršana

Kampaņa galvenokārt ir vērsta pret maršrutētājiem, ko darbina Realtek RTL819X mikroshēmojumu komplekti — aparatūra, kas tika plaši izmantota no 2012. līdz 2015. gadam. Pētnieki pirmo reizi ļaunprogrammatūru novēroja 2026. gada 12. martā, kad infekcijas radās no vienas IP adreses.

Izvietotā ļaunprogrammatūra bija Linux ELF binārais fails, ko sākotnēji nevarēja atklāt neviens VirusTotal dzinējs. Infekcija tika panākta, izmantojot divas vecākas ievainojamības:

  • CVE-2013-3307, kas ietekmē noteiktus Linksys maršrutētājus.
  • CVE-2016-5681 ietekmē konkrētas D-Link ierīces.

Lielākā daļa apdraudēto sistēmu ir D-Link produkti, un aptuveni 75 % infekciju ir saistītas ar DIR-850L modeli. Ģeogrāfiski infekcijas ir koncentrētas Dienvidkorejā (48 %) un Ķīnā (32 %), kam seko Zviedrija, Malaizija un Singapūra.

Paplašināšanās ārpus maršrutētājiem

Otra ļaunprogrammatūras variācija parādījās 2026. gada 26. aprīlī, un tā bija vērsta pret QNAP NAS ierīcēm, izmantojot CVE-2025-11837, koda injekcijas ievainojamību, kas ietekmē QNAP ļaunprogrammatūras noņemšanas utilītu. Lai gan ievainojamība jau bija novērsta 2025. gada novembrī, uzbrucēji sāka to izmantot vairākus mēnešus vēlāk.

Ironiski, ka infekcijas vektors ir NAS ierīces paša ļaunprogrammatūras noņemšanas lietojumprogramma. Ziņotais 4300 apdraudēto sistēmu skaits ietver tikai inficētos RTL819X maršrutētājus un neietver skartās NAS ierīces.

Viegla ļaunprogrammatūra ar jaudīgām iespējām

AryStinger maršrutētāja versija ir rakstīta C valodā un apzināti saglabāta viegla, ņemot vērā vecāku aparatūras ierobežotos resursus. Tās galvenās funkcijas ir masveida DNS skenēšana un datplūsmas tunelēšana.

NAS versija, kas izstrādāta Go valodā, nodrošina ievērojami plašākas iespējas. Tā var skenēt gan iekšējos, gan ārējos tīklus un izvietot izlūkošanas utilītas, piemēram, fscan, ksubdomain un httpx. Funkcija, kas pazīstama kā ScriptWork, ļauj operatoriem izpildīt uzbrucēja piegādātu Go, Java vai Python pirmkodu tieši inficētajā sistēmā, novēršot nepieciešamību kompilēt atsevišķus bināros failus katram mērķim.

Saziņa starp inficētajām ierīcēm un vadības un kontroles (C2) serveriem notiek, izmantojot HTTP un HTTPS protokolus, izmantojot Protobuf kodētu datplūsmu, kas maskēta ar vienkāršu XOR shēmu, savukārt uz Go balstītā varianta tiek pievienota gzip saspiešana. Lieli skenēšanas uzdevumi tiek sadalīti mazākos segmentos un izplatīti pa botnetu, nodrošinot paralēlas izlūkošanas operācijas.

Noturība un ļaunprātīgas izmantošanas potenciāls

Ļaunprogrammatūra uztur ilgtermiņa piekļuvi, izvietojot Dropbear SSH serveri 2332. portā maršrutētājiem un gs-netcat uz apdraudētām NAS sistēmām. Izmeklētāji arī identificēja cietkodā ierakstītu autentifikācijas atslēgu “sh_#@!_2024_secret”, kurā iekļautā “2024” var norādīt, ka operācijas izstrāde sākās tajā gadā, lai gan to nevar droši apstiprināt.

Lai gan šķiet, ka galvenais mērķis ir izlūkošana, ļaunprogrammatūras DNS skenēšanas iespējas var tikt novirzītas arī uz DNS atrisinātājiem, lai nepieciešamības gadījumā ģenerētu pakalpojuma atteikuma trafiku.

Pazīstams modelis: operatīvie releju kastes tīkli

AryStinger izveidotā infrastruktūra ir ļoti līdzīga operacionālo releju kastu (ORB) tīkliem. Šie tīkli sastāv no kompromitētiem nolietotiem maršrutētājiem un lietu interneta (IoT) ierīcēm, kas ļauj apdraudējumu dalībniekiem veikt skenēšanas darbības un pārraidīt ļaunprātīgu datplūsmu, vienlaikus saglabājot grūtības to izsekot.

Šī pieeja atspoguļo iepriekšējos incidentus. 2025. gada maijā FBI un ASV Tieslietu ministrija likvidēja pakalpojumus 5socks un Anyproxy, kas bija monetizējuši piekļuvi mājsaimniecībām, izmantojot novecojušus Linksys un Cisco maršrutētājus, kas inficēti ar TheMoon ļaunprogrammatūru. Pavisam nesen ORB operācijas, piemēram, LapDogs, ir līdzīgi paļāvušās uz neaizlāpotām ievainojamībām novecojošās ierīcēs.

Pašlaik AryStinger nav pārliecinoši saistīts ar nevienu konkrētu apdraudējuma dalībnieku. Tomēr darbības modelis ir nepārprotams: novecojusi aparatūra un aizmirstas ievainojamības tiek pārveidotas par slepenu infrastruktūru, kas atbalsta sarežģītu kiberuzbrukumu sākotnējos posmus.

Atklāšanas un mazināšanas stratēģijas

Organizācijām un personām, kas ekspluatē potenciāli skartās iekārtas, nekavējoties jāizmeklē, vai nav apdraudējuma pazīmju, un jāievieš ilgtermiņa korektīvi pasākumi.

  • Uzraugiet izejošos savienojumus ar AryStinger komandu un vadības serveriem un lejupielādes domēniem.
  • Pārbaudiet /tmp/bin direktoriju, vai tajā nav nepazīstamu binārie faili.
  • Meklējiet aizdomīgus procesus ar nosaukumu syswapd0h vai syswapd0w.

Visefektīvākā aizsardzība joprojām ir vienkārša: izņemt no ekspluatācijas laika beigām esošas tīkla iekārtas, kas vairs nesaņem programmaparatūras atjauninājumus, un, kad vien iespējams, atspējot attālo administrēšanu ierīcēs, kas ir pakļautas internetam. Aparatūra, kas pirms gadiem vairs nesaņēma drošības ielāpus, visticamāk, nesaņems aizsardzību pret mūsdienu draudiem.

Notiek ielāde...