AVrecon Botnet ਮਾਲਵੇਅਰ

ਮਈ 2021 ਤੋਂ ਬਾਅਦ, AVrecon ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਬਹੁਤ ਹੀ ਗੁਪਤ ਲੀਨਕਸ ਮਾਲਵੇਅਰ ਨੂੰ ਲੀਨਕਸ-ਅਧਾਰਿਤ ਸਿਸਟਮਾਂ 'ਤੇ ਕੰਮ ਕਰਨ ਵਾਲੇ 70,000 ਤੋਂ ਵੱਧ ਛੋਟੇ ਦਫਤਰ/ਹੋਮ ਆਫਿਸ (SOHO) ਰਾਊਟਰਾਂ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਲਈ ਲਗਾਇਆ ਗਿਆ ਹੈ। ਇਹ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਰਾਊਟਰਾਂ ਨੂੰ ਫਿਰ ਇੱਕ ਬੋਟਨੈੱਟ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਦੋਹਰੇ ਉਦੇਸ਼ ਦੀ ਪੂਰਤੀ ਕਰਦਾ ਹੈ: ਬੈਂਡਵਿਡਥ ਨੂੰ ਚੋਰੀ ਕਰਨਾ ਅਤੇ ਇੱਕ ਛੁਪੀ ਰਿਹਾਇਸ਼ੀ ਪ੍ਰੌਕਸੀ ਸੇਵਾ ਦੀ ਸਥਾਪਨਾ ਕਰਨਾ। infosec ਮਾਹਰਾਂ ਦੇ ਅਨੁਸਾਰ, AVrecon ਦੁਆਰਾ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ 70 000 ਉਪਕਰਣਾਂ ਵਿੱਚੋਂ, ਲਗਭਗ 40 000 ਨੂੰ ਇੱਕ ਬੋਟਨੈੱਟ ਵਿੱਚ ਸ਼ਾਮਲ ਕੀਤਾ ਗਿਆ ਸੀ।

ਇਸ ਬੋਟਨੈੱਟ ਦੀ ਵਰਤੋਂ ਕਰਕੇ, AVrecon ਦੇ ਸੰਚਾਲਕ ਨੁਕਸਾਨਦੇਹ ਕੰਮਾਂ ਦੀ ਇੱਕ ਲੜੀ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਛੁਪਾ ਸਕਦੇ ਹਨ। ਇਹ ਗਤੀਵਿਧੀਆਂ ਇੱਕ ਵਿਆਪਕ ਸਪੈਕਟ੍ਰਮ ਨੂੰ ਘੇਰਦੀਆਂ ਹਨ, ਧੋਖਾਧੜੀ ਵਾਲੀਆਂ ਡਿਜੀਟਲ ਵਿਗਿਆਪਨ ਸਕੀਮਾਂ ਤੋਂ ਲੈ ਕੇ ਪਾਸਵਰਡ-ਸਪਰੇਅ ਹਮਲਿਆਂ ਤੱਕ। ਇੱਕ ਲੁਕੀ ਹੋਈ ਰਿਹਾਇਸ਼ੀ ਪ੍ਰੌਕਸੀ ਸੇਵਾ ਦੀ ਉਪਲਬਧਤਾ ਉਹਨਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਸੰਚਾਲਨ ਨੂੰ ਅਗਿਆਤ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਦੀਆਂ ਨਾਪਾਕ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਅਣਪਛਾਤੇ ਕਰਨ ਲਈ ਸਮਝੌਤਾ ਕੀਤੇ ਨੈਟਵਰਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਇੱਕ ਸਾਧਨ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ।

AVrecon ਮਾਲਵੇਅਰ ਬਰੇਕਡ ਡਿਵਾਈਸਾਂ 'ਤੇ ਚੁੱਪਚਾਪ ਕੰਮ ਕਰਦਾ ਹੈ

ਮਈ 2021 ਵਿੱਚ ਇਸਦੀ ਸ਼ੁਰੂਆਤੀ ਖੋਜ ਤੋਂ ਬਾਅਦ, AVrecon ਨੇ ਖੋਜ ਤੋਂ ਬਚਣ ਦੀ ਇੱਕ ਕਮਾਲ ਦੀ ਯੋਗਤਾ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਹੈ। ਇਸਨੇ ਸ਼ੁਰੂ ਵਿੱਚ ਨੈੱਟਗੀਅਰ ਰਾਊਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਅਤੇ ਦੋ ਸਾਲਾਂ ਤੋਂ ਵੱਧ ਸਮੇਂ ਤੱਕ ਅਣਪਛਾਤੇ ਰਹਿਣ ਵਿੱਚ ਕਾਮਯਾਬ ਰਿਹਾ, ਨਵੇਂ ਬੋਟਾਂ ਨੂੰ ਫਸਾਉਣ ਦੁਆਰਾ ਆਪਣੀ ਪਹੁੰਚ ਨੂੰ ਲਗਾਤਾਰ ਵਧਾਉਂਦਾ ਰਿਹਾ। ਇਸ ਨਿਰੰਤਰ ਵਿਕਾਸ ਨੇ ਇਸ ਨੂੰ ਹਾਲ ਹੀ ਦੇ ਸਮੇਂ ਵਿੱਚ ਛੋਟੇ ਦਫਤਰ/ਹੋਮ ਆਫਿਸ (SOHO) ਰਾਊਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਸਭ ਤੋਂ ਵੱਡੇ ਬੋਟਨੈੱਟਾਂ ਵਿੱਚੋਂ ਇੱਕ ਬਣਨ ਲਈ ਪ੍ਰੇਰਿਤ ਕੀਤਾ ਹੈ।

ਇਸ ਮਾਲਵੇਅਰ ਦੇ ਪਿੱਛੇ ਖਤਰੇ ਦੇ ਕਾਰਕ SOHO ਡਿਵਾਈਸਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ 'ਤੇ ਰਣਨੀਤਕ ਤੌਰ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਦਿਖਾਈ ਦਿੰਦੇ ਹਨ ਜਿਨ੍ਹਾਂ ਨੂੰ ਉਪਭੋਗਤਾਵਾਂ ਦੁਆਰਾ ਜਾਣੀਆਂ-ਪਛਾਣੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਅਤੇ ਐਕਸਪੋਜ਼ਰਾਂ (CVEs) ਦੇ ਵਿਰੁੱਧ ਪੈਚ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਘੱਟ ਸੀ। ਵਧੇਰੇ ਸਾਵਧਾਨ ਪਹੁੰਚ ਅਪਣਾ ਕੇ, ਆਪਰੇਟਰ ਦੋ ਸਾਲਾਂ ਤੋਂ ਵੱਧ ਸਮੇਂ ਲਈ ਖੋਜ ਤੋਂ ਬਚਦੇ ਹੋਏ, ਇੱਕ ਵਿਸਤ੍ਰਿਤ ਮਿਆਦ ਲਈ ਚੋਰੀ-ਛਿਪੇ ਕੰਮ ਕਰਨ ਦੇ ਯੋਗ ਸਨ। ਮਾਲਵੇਅਰ ਦੀ ਗੁਪਤ ਪ੍ਰਕਿਰਤੀ ਦਾ ਮਤਲਬ ਹੈ ਕਿ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸਾਂ ਦੇ ਮਾਲਕਾਂ ਨੂੰ ਘੱਟ ਹੀ ਧਿਆਨ ਦੇਣ ਯੋਗ ਸੇਵਾ ਰੁਕਾਵਟਾਂ ਜਾਂ ਬੈਂਡਵਿਡਥ ਦੇ ਨੁਕਸਾਨ ਦਾ ਅਨੁਭਵ ਹੁੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਬੋਟਨੈੱਟ ਨੂੰ ਅਣਪਛਾਤੇ ਬਣੇ ਰਹਿਣ ਦੇ ਯੋਗ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ।

ਇੱਕ ਵਾਰ ਜਦੋਂ ਇੱਕ ਰਾਊਟਰ ਸੰਕਰਮਿਤ ਹੋ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਡਿਵਾਈਸ ਦੀ ਜਾਣਕਾਰੀ ਨੂੰ ਏਮਬੈਡ ਕੀਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਵਿੱਚ ਸੰਚਾਰਿਤ ਕਰਨ ਲਈ ਅੱਗੇ ਵਧਦਾ ਹੈ। ਇਸ ਤੋਂ ਬਾਅਦ, ਹੈਕ ਕੀਤੀ ਮਸ਼ੀਨ ਨੂੰ ਦੂਜੇ ਪੜਾਅ ਦੇ C2 ਸਰਵਰਾਂ ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਸਰਵਰਾਂ ਦੇ ਇੱਕ ਵੱਖਰੇ ਸਮੂਹ ਨਾਲ ਸੰਚਾਰ ਸਥਾਪਤ ਕਰਨ ਲਈ ਨਿਰਦੇਸ਼ ਪ੍ਰਾਪਤ ਹੁੰਦੇ ਹਨ। ਆਪਣੀ ਜਾਂਚ ਦੌਰਾਨ, ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਕੁੱਲ 15 ਦੂਜੇ ਪੜਾਅ ਦੇ ਨਿਯੰਤਰਣ ਸਰਵਰਾਂ ਦੀ ਪਛਾਣ ਕੀਤੀ। ਇਹ ਸਰਵਰ ਘੱਟੋ-ਘੱਟ ਅਕਤੂਬਰ 2021 ਤੋਂ ਕਾਰਜਸ਼ੀਲ ਹਨ, ਜਿਵੇਂ ਕਿ x.509 ਸਰਟੀਫਿਕੇਟ ਜਾਣਕਾਰੀ ਦੁਆਰਾ ਨਿਰਧਾਰਤ ਕੀਤਾ ਗਿਆ ਹੈ।

ਇਹਨਾਂ ਦੂਜੇ-ਪੜਾਅ ਦੇ C2 ਸਰਵਰਾਂ ਦੀ ਮੌਜੂਦਗੀ ਮਾਲਵੇਅਰ ਦੇ ਪਿੱਛੇ ਖਤਰੇ ਵਾਲੇ ਐਕਟਰਾਂ ਦੁਆਰਾ ਨਿਯੁਕਤ ਕੀਤੇ ਗਏ ਆਧੁਨਿਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਅਤੇ ਸੰਗਠਨ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਇਹ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਮਾਹਰਾਂ ਦੁਆਰਾ ਇਸ ਸਥਾਈ ਅਤੇ ਮਾਮੂਲੀ ਬੋਟਨੈੱਟ ਦੇ ਪ੍ਰਭਾਵ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਅਤੇ ਇਸ ਨੂੰ ਘਟਾਉਣ ਲਈ ਦਰਪੇਸ਼ ਚੁਣੌਤੀਆਂ ਨੂੰ ਹੋਰ ਰੇਖਾਂਕਿਤ ਕਰਦਾ ਹੈ।

ਸਮਝੌਤਾ ਕੀਤੇ SOHO ਯੰਤਰਾਂ ਦੇ ਗੰਭੀਰ ਨਤੀਜੇ ਨਿਕਲ ਸਕਦੇ ਹਨ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਸੁਰੱਖਿਆ ਏਜੰਸੀ (CISA) ਦੁਆਰਾ ਹਾਲ ਹੀ ਵਿੱਚ ਜਾਰੀ ਕੀਤੇ ਇੱਕ ਬਾਈਡਿੰਗ ਸੰਚਾਲਨ ਨਿਰਦੇਸ਼ (BOD) ਵਿੱਚ, ਯੂਐਸ ਸੰਘੀ ਏਜੰਸੀਆਂ ਨੂੰ SOHO ਰਾਊਟਰਾਂ ਸਮੇਤ, ਇੰਟਰਨੈਟ-ਪ੍ਰਗਟਾਵੇ ਵਾਲੇ ਨੈਟਵਰਕਿੰਗ ਉਪਕਰਣਾਂ ਨੂੰ ਸੁਰੱਖਿਅਤ ਕਰਨ ਲਈ ਤੁਰੰਤ ਕਾਰਵਾਈ ਕਰਨ ਲਈ ਆਦੇਸ਼ ਦਿੱਤਾ ਗਿਆ ਹੈ। ਇਹ ਨਿਰਦੇਸ਼ ਸੰਘੀ ਏਜੰਸੀਆਂ ਨੂੰ ਸੰਭਾਵੀ ਉਲੰਘਣਾ ਦੀਆਂ ਕੋਸ਼ਿਸ਼ਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਖੋਜ ਦੇ 14 ਦਿਨਾਂ ਦੇ ਅੰਦਰ ਇਹਨਾਂ ਡਿਵਾਈਸਾਂ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨ ਦੀ ਮੰਗ ਕਰਦਾ ਹੈ।

ਇਸ ਤਾਕੀਦ ਦਾ ਕਾਰਨ ਇਹ ਹੈ ਕਿ ਅਜਿਹੇ ਯੰਤਰਾਂ ਦਾ ਇੱਕ ਸਫਲ ਸਮਝੌਤਾ ਖ਼ਤਰੇ ਦੇ ਅਦਾਕਾਰਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਹਮਲੇ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਸਮਝੌਤਾ ਕੀਤੇ ਰਾਊਟਰਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਪ੍ਰਦਾਨ ਕਰੇਗਾ। ਇਹ, ਬਦਲੇ ਵਿੱਚ, ਨਿਸ਼ਾਨਾ ਬਣੀਆਂ ਸੰਸਥਾਵਾਂ ਦੇ ਅੰਦਰੂਨੀ ਨੈਟਵਰਕਾਂ ਵਿੱਚ ਪਾਸੇ ਦੀ ਗਤੀ ਲਈ ਇੱਕ ਲਾਂਚਪੈਡ ਵਜੋਂ ਕੰਮ ਕਰੇਗਾ, ਜਿਵੇਂ ਕਿ CISA ਦੁਆਰਾ ਉਹਨਾਂ ਦੀ ਚੇਤਾਵਨੀ ਵਿੱਚ ਜ਼ੋਰ ਦਿੱਤਾ ਗਿਆ ਹੈ।

ਧਮਕੀਆਂ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰਾਂ ਦੁਆਰਾ AVrecon ਦੀ ਵਰਤੋਂ ਦੋਹਰੇ ਉਦੇਸ਼ਾਂ ਦੀ ਪੂਰਤੀ ਕਰਦੀ ਹੈ: ਟ੍ਰੈਫਿਕ ਨੂੰ ਪ੍ਰੌਕਸੀ ਕਰਨਾ ਅਤੇ ਨਾਪਾਕ ਗਤੀਵਿਧੀਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੋਣਾ ਜਿਵੇਂ ਕਿ ਪਾਸਵਰਡ ਸਪਰੇਅ ਕਰਨਾ। ਇਹ ਵੱਖਰੀ ਵਿਧੀ ਇਸ ਨੂੰ ਰਾਊਟਰ-ਅਧਾਰਿਤ ਮਾਲਵੇਅਰ ਦੀਆਂ ਸਾਡੀਆਂ ਪਿਛਲੀਆਂ ਖੋਜਾਂ ਤੋਂ ਵੱਖ ਕਰਦੀ ਹੈ, ਜੋ ਮੁੱਖ ਤੌਰ 'ਤੇ ਸਿੱਧੇ ਨੈੱਟਵਰਕ ਟਾਰਗਿਟਿੰਗ 'ਤੇ ਕੇਂਦਰਿਤ ਸੀ।

ਇਸ ਖਤਰੇ ਦੀ ਗੰਭੀਰਤਾ ਇਸ ਤੱਥ ਤੋਂ ਪੈਦਾ ਹੁੰਦੀ ਹੈ ਕਿ SOHO ਰਾਊਟਰ ਆਮ ਤੌਰ 'ਤੇ ਰਵਾਇਤੀ ਸੁਰੱਖਿਆ ਘੇਰੇ ਤੋਂ ਬਾਹਰ ਕੰਮ ਕਰਦੇ ਹਨ। ਸਿੱਟੇ ਵਜੋਂ, ਅਸੁਰੱਖਿਅਤ ਗਤੀਵਿਧੀਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਡਿਫੈਂਡਰਾਂ ਦੀ ਸਮਰੱਥਾ ਕਾਫ਼ੀ ਘੱਟ ਜਾਂਦੀ ਹੈ। ਇਹ ਸਥਿਤੀ ਸੰਭਾਵੀ ਉਲੰਘਣਾਵਾਂ ਦੇ ਖਤਰੇ ਨੂੰ ਘਟਾਉਣ ਅਤੇ ਸਮੁੱਚੀ ਨੈੱਟਵਰਕ ਸੁਰੱਖਿਆ ਨੂੰ ਵਧਾਉਣ ਲਈ ਇਹਨਾਂ ਡਿਵਾਈਸਾਂ ਨੂੰ ਤੁਰੰਤ ਸੁਰੱਖਿਅਤ ਕਰਨ ਦੇ ਮਹੱਤਵਪੂਰਨ ਮਹੱਤਵ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।