AIRASHI Botnet
En null-dagers sårbarhet i Cambium Networks cnPilot-rutere har blitt det siste verktøyet for nettkriminelle som distribuerer en AISURU-botnettvariant kjent som AIRASHI. Denne kampanjen, aktiv siden juni 2024, utnytter feilen til å orkestrere kraftige DDoS-angrep (Distributed Denial-of-Service). Sikkerhetsforskere har holdt tilbake detaljer om sårbarheten for å begrense misbruket mens etterforskningen pågår.
Innholdsfortegnelse
En historie om utnyttede sårbarheter
AIRASHI-botnettet er ikke begrenset til en enkelt angrepsvektor. Den bevæpner en rekke sårbarheter, inkludert CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-85202, CVE-2020-85202, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 og andre feil funnet i AVTECH IP-kameraer, LILIN DVR-er og Shenzhen TVT-enheter. Ved å utnytte dette brede spekteret av svakheter, fortsetter AIRASHI å øke rekkevidden og sofistikeringen.
DDoS-angrepsevner: En nærmere titt
Operatørene bak AIRASHI er ikke sjenerte for aktivitetene sine, og legger ut testresultater av botnettets DDoS-funksjoner på Telegram. Historiske data viser at angrepskapasiteten stabiliserer seg rundt 1-3 Tbps. Geografisk sett er de fleste kompromitterte enheter plassert i Brasil, Russland, Vietnam og Indonesia. Imidlertid er målene konsentrert i regioner som Kina, USA, Polen og Russland, der botnettets skadelige operasjoner har forårsaket mest forstyrrelser.
Utviklingen av AISURU til AIRASHI
AIRASHI stammer fra AISURU-botnettet, som tidligere ble identifisert i august 2024 under et høyprofilert DDoS-angrep på Steam, som falt sammen med utgivelsen av spillet Black Myth: Wukong. Etter å ha stoppet driften midlertidig i september 2024, dukket botnettet opp igjen med oppdaterte funksjoner med kodenavnet "kitty" og ble ytterligere fornyet som AIRASHI innen november.
Et botnett med to formål: AIRASHI-DDoS og AIRASHI-Proxy
AIRASHI opererer i to forskjellige former:
- AIRASHI-DDoS : Denne varianten ble oppdaget i slutten av oktober 2024, og fokuserer på DDoS-angrep, men utvider mulighetene til å inkludere vilkårlig kommandoutførelse og omvendt skalltilgang.
- AIRASHI-Proxy : Denne varianten ble avduket i desember 2024, og legger til proxy-funksjonalitet, og signaliserer en diversifisering av tjenester utover DDoS-operasjoner.
Fremme kommunikasjon og kryptering
For å sikre sikker og effektiv drift, bruker AIRASHI en ny nettverksprotokoll som utnytter HMAC-SHA256 og CHACHA20 krypteringsalgoritmer. Mens AIRASHI-DDoS støtter 13 forskjellige meldingstyper, bruker AIRASHI-Proxy en mer strømlinjeformet tilnærming med fem. I tillegg justerer botnettet dynamisk metodene for å hente Command-and-Control (C2) serverdetaljer via DNS-spørringer.
Botnett og IoT-enheter: En vedvarende cybertrussel
Funnene fremhever cyberkriminelles vedvarende utnyttelse av IoT-enhetssårbarheter. IoT-enheter fungerer både som et inngangspunkt for dårlige aktører og grunnlaget for å bygge robuste botnett. Ved å utnytte disse kompromitterte enhetene, forsterker trusselaktører kraften til DDoS-angrep, og viser det kritiske behovet for forbedret enhetssikkerhet i IoT-økosystemet.
