Botnet AIRASHI
Luka typu zero-day w routerach cnPilot firmy Cambium Networks stała się najnowszym narzędziem cyberprzestępców wdrażających wariant botnetu AISURU znany jako AIRASHI. Ta kampania, aktywna od czerwca 2024 r., wykorzystuje lukę do organizowania potężnych ataków typu Distributed Denial-of-Service (DDoS). Badacze ds. bezpieczeństwa wstrzymali się z ujawnieniem szczegółów dotyczących luki, aby ograniczyć jej niewłaściwe wykorzystanie, podczas gdy trwają dochodzenia.
Spis treści
Historia wykorzystanych luk
Botnet AIRASHI nie ogranicza się do jednego wektora ataku. Uzbraja szereg luk, w tym CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 i inne wady znalezione w kamerach IP AVTECH, rejestratorach LILIN DVR i urządzeniach Shenzhen TVT. Wykorzystując to szerokie spektrum słabości, AIRASHI nadal zwiększa swój zasięg i wyrafinowanie.
Możliwości ataków DDoS: bliższe spojrzenie
Operatorzy AIRASHI nie są nieśmiali w kwestii swoich działań, publikując wyniki testów możliwości DDoS swojego botnetu na Telegramie. Dane historyczne ujawniają, że jego zdolność ataku stabilizuje się na poziomie 1-3 Tbps. Geograficznie większość zainfekowanych urządzeń znajduje się w Brazylii, Rosji, Wietnamie i Indonezji. Jednak cele koncentrują się w regionach takich jak Chiny, Stany Zjednoczone, Polska i Rosja, gdzie szkodliwe działania botnetu spowodowały największe zakłócenia.
Ewolucja AISURU w AIRASHI
AIRASHI wywodzi się z botnetu AISURU, który został wcześniej zidentyfikowany w sierpniu 2024 r. podczas głośnego ataku DDoS na Steam, który zbiegł się z wydaniem gry Black Myth: Wukong. Po tymczasowym wstrzymaniu działalności we wrześniu 2024 r. botnet pojawił się ponownie z zaktualizowanymi funkcjami o nazwie kodowej „kitty” i został dodatkowo odnowiony jako AIRASHI w listopadzie.
Botnet o podwójnym przeznaczeniu: AIRASHI-DDoS i AIRASHI-Proxy
AIRASHI działa w dwóch odrębnych formach:
- AIRASHI-DDoS : Wykryty pod koniec października 2024 r., ten wariant skupia się na atakach DDoS, ale rozszerza jego możliwości o wykonywanie dowolnych poleceń i odwrotny dostęp do powłoki.
- AIRASHI-Proxy : Ta wersja, zaprezentowana w grudniu 2024 r., dodaje funkcjonalność proxy, sygnalizując dywersyfikację usług wykraczającą poza operacje DDoS.
Rozwój komunikacji i szyfrowania
Aby zapewnić bezpieczne i wydajne działanie, AIRASHI stosuje nowy protokół sieciowy wykorzystujący algorytmy szyfrowania HMAC-SHA256 i CHACHA20. Podczas gdy AIRASHI-DDoS obsługuje 13 różnych typów wiadomości, AIRASHI-Proxy wykorzystuje bardziej uproszczone podejście z pięcioma. Ponadto botnet dynamicznie dostosowuje swoje metody, aby pobrać szczegóły serwera Command-and-Control (C2) za pośrednictwem zapytań DNS.
Botnety i urządzenia IoT: stałe zagrożenie cybernetyczne
Wyniki podkreślają uporczywe wykorzystywanie luk w zabezpieczeniach urządzeń IoT przez cyberprzestępców. Urządzenia IoT służą zarówno jako punkt wejścia dla złych aktorów, jak i podstawa do budowania solidnych botnetów. Wykorzystując te naruszone urządzenia, aktorzy zagrożeń wzmacniają siłę ataków DDoS, co pokazuje krytyczną potrzebę zwiększonego bezpieczeństwa urządzeń w ekosystemie IoT.
