AVrecon Botnet ļaunprātīga programmatūra

Sākot no 2021. gada maija, ļoti slēpta Linux ļaunprogrammatūra, kas pazīstama kā AVrecon, ir izmantota, lai iefiltrētos vairāk nekā 70 000 maza biroja/mājas biroja (SOHO) maršrutētāju, kas darbojas uz Linux balstītām sistēmām. Šie apdraudētie maršrutētāji pēc tam tiek iekļauti robottīklā, kalpojot diviem mērķiem: zagt joslas platumu un izveidot slēptu dzīvojamo starpniekservera pakalpojumu. Saskaņā ar infosec ekspertu teikto, no 70 000 ierīču, kuras ir apdraudējis AVrecon, aptuveni 40 000 tika iekļautas robottīklā.

Izmantojot šo robottīklu, AVrecon operatori var efektīvi noslēpt virkni kaitīgu uzņēmumu. Šīs darbības aptver plašu spektru, sākot no krāpnieciskām digitālās reklāmas shēmām līdz paroles izkliedēšanas uzbrukumiem. Slēptā dzīvojamā starpniekservera pakalpojuma pieejamība nodrošina viņiem iespēju anonimizēt savas darbības un izmantot apdraudēto tīkla infrastruktūru, lai neatklāti veiktu savas kaitīgās darbības.

AVrecon ļaunprogrammatūra uzlauztajās ierīcēs darbojas klusi

Kopš sākotnējās atklāšanas 2021. gada maijā, AVrecon ir demonstrējis ievērojamu spēju izvairīties no atklāšanas. Sākotnēji tas bija vērsts uz Netgear maršrutētājiem un spēja palikt neatklātam vairāk nekā divus gadus, nepārtraukti paplašinot savu sasniedzamību, piesaistot jaunus robotus. Šī nerimstošā izaugsme ir likusi tam kļūt par vienu no lielākajiem robottīkliem, kas pēdējā laikā ir mērķēti uz maziem biroja/mājas biroja (SOHO) maršrutētājiem.

Šķiet, ka šīs ļaunprogrammatūras radītāji ir stratēģiski koncentrējušies uz SOHO ierīču izmantošanu, kuras lietotājiem bija mazāka iespēja novērst zināmās ievainojamības un iedarbības (CVE). Pieņemot piesardzīgāku pieeju, operatori varēja ilgstoši darboties slepeni, izvairoties no atklāšanas vairāk nekā divus gadus. Ļaunprātīgās programmatūras slēptais raksturs nozīmēja, ka inficēto ierīču īpašnieki reti piedzīvoja ievērojamus pakalpojumu traucējumus vai joslas platuma zudumus, kas vēl vairāk ļāva robottīklam palikt neatklātam.

Kad maršrutētājs ir inficēts, ļaunprogrammatūra pārsūta apdraudētās ierīces informāciju uz iegulto Command-and-Control (C2) serveri. Pēc tam uzlauztā iekārta saņem norādījumus, lai izveidotu saziņu ar atsevišķu serveru kopu, kas pazīstama kā otrās pakāpes C2 serveri. Izmeklēšanas laikā drošības pētnieki kopumā identificēja 15 otrās pakāpes kontroles serverus. Šie serveri ir darbojušies vismaz kopš 2021. gada oktobra, kā noteikts x.509 sertifikāta informācijā.

Šo otrās pakāpes C2 serveru klātbūtne izceļ sarežģīto infrastruktūru un organizāciju, ko izmanto ļaunprogrammatūras izraisītāji. Tas vēl vairāk uzsver izaicinājumus, ar kuriem saskaras kiberdrošības eksperti, apkarojot un mazinot šī pastāvīgā un nenotveramā robottīkla ietekmi.

Kompromitētas SOHO ierīces var radīt nopietnas sekas

Saistošā darbības direktīvā (BOD), ko nesen izdevusi Kiberdrošības un infrastruktūras drošības aģentūra (CISA), ASV federālajām aģentūrām ir dotas pilnvaras nekavējoties rīkoties, lai nodrošinātu internetam pakļautas tīkla iekārtas, tostarp SOHO maršrutētājus. Saskaņā ar šo direktīvu federālajām aģentūrām ir jāstiprina šīs ierīces 14 dienu laikā pēc atklāšanas, lai novērstu iespējamos pārkāpuma mēģinājumus.

Šīs steidzamības iemesls ir tāds, ka veiksmīgs šādu ierīču kompromiss ļautu apdraudējuma dalībniekiem iekļaut apdraudētos maršrutētājus savā uzbrukuma infrastruktūrā. Tas, savukārt, kalpotu kā starta laukums sānu pārvietošanai mērķa subjektu iekšējos tīklos, kā savā brīdinājumā uzsvēra CISA.

AVrecon izmantošanai draudu dalībniekiem ir divi mērķi: trafika starpniekserveri un iesaistīšanās negodīgās darbībās, piemēram, paroļu izsmidzināšanā. Šis atšķirīgais darbības veids to atšķir no mūsu iepriekšējiem atklājumiem par maršrutētāju balstītu ļaunprātīgu programmatūru, kas galvenokārt bija vērsta uz tiešo tīkla mērķauditorijas atlasi.

Šo draudu smagums ir saistīts ar faktu, ka SOHO maršrutētāji parasti darbojas ārpus parastā drošības perimetra. Līdz ar to aizsargu spēja atklāt nedrošas darbības ir ievērojami samazināta. Šī situācija norāda uz to, cik ļoti svarīgi ir nekavējoties nodrošināt šo ierīču drošību, lai mazinātu iespējamo pārkāpumu risku un uzlabotu vispārējo tīkla drošību.