Złośliwe oprogramowanie botnetu AVrecon

Od maja 2021 r. wysoce tajne złośliwe oprogramowanie dla systemu Linux, znane jako AVrecon, jest wykorzystywane do infiltracji ponad 70 000 routerów małych biur/biur domowych (SOHO) działających w systemach opartych na systemie Linux. Te zainfekowane routery są następnie włączane do botnetu, który służy dwóm celom: kradzieży przepustowości i ustanowieniu ukrytej domowej usługi proxy. Według ekspertów Infosec, z 70 000 urządzeń przejętych przez AVrecon około 40 000 zostało włączonych do botnetu.

Wykorzystując ten botnet, operatorzy AVrecon mogą skutecznie ukryć szereg szkodliwych przedsięwzięć. Działania te obejmują szerokie spektrum, od oszukańczych systemów reklamy cyfrowej po ataki polegające na rozpylaniu haseł. Dostępność usługi ukrytego domowego serwera proxy zapewnia im środki do anonimizacji operacji i wykorzystywania zainfekowanej infrastruktury sieciowej do niewykrywania ich nikczemnych działań.

Złośliwe oprogramowanie AVrecon działa po cichu na naruszonych urządzeniach

Od czasu pierwszego wykrycia w maju 2021 r. AVrecon wykazał niezwykłą zdolność unikania wykrycia. Początkowo celował w routery Netgear i udało mu się pozostać niewykrytym przez ponad dwa lata, stale zwiększając swój zasięg poprzez usidlanie nowych botów. Ten nieustanny wzrost sprawił, że w ostatnim czasie stał się jednym z największych botnetów atakujących routery małych biur/biur domowych (SOHO).

Wydaje się, że cyberprzestępcy stojący za tym złośliwym oprogramowaniem skupili się strategicznie na wykorzystywaniu urządzeń SOHO, których użytkownicy byli mniej skłonni do łatania znanych luk w zabezpieczeniach i zagrożeń (CVE). Przyjmując bardziej ostrożne podejście, operatorzy byli w stanie działać ukradkiem przez dłuższy czas, unikając wykrycia przez ponad dwa lata. Ukryty charakter złośliwego oprogramowania oznaczał, że właściciele zainfekowanych urządzeń rzadko doświadczali zauważalnych zakłóceń w świadczeniu usług lub utraty przepustowości, co dodatkowo umożliwiało pozostanie niewykrytego botnetu.

Po zainfekowaniu routera złośliwe oprogramowanie przesyła informacje o zaatakowanym urządzeniu do wbudowanego serwera Command-and-Control (C2). Następnie zhakowana maszyna otrzymuje instrukcje nawiązania komunikacji z oddzielnym zestawem serwerów, zwanych serwerami drugiego etapu C2. Podczas dochodzenia badacze bezpieczeństwa zidentyfikowali łącznie 15 serwerów kontrolnych drugiego stopnia. Te serwery działają co najmniej od października 2021 r., zgodnie z informacjami zawartymi w certyfikacie x.509.

Obecność tych serwerów drugiego etapu C2 podkreśla zaawansowaną infrastrukturę i organizację stosowaną przez cyberprzestępców stojących za złośliwym oprogramowaniem. Ponadto podkreśla wyzwania stojące przed ekspertami ds. cyberbezpieczeństwa w walce i łagodzeniu wpływu tego uporczywego i nieuchwytnego botnetu.

Naruszone urządzenia SOHO mogą prowadzić do poważnych konsekwencji

W wiążącej dyrektywie operacyjnej (BOD) wydanej niedawno przez Agencję Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA), amerykańskie agencje federalne zostały upoważnione do podjęcia natychmiastowych działań w celu zabezpieczenia sprzętu sieciowego wystawionego na działanie Internetu, w tym routerów SOHO. Ta dyrektywa wymaga od agencji federalnych wzmocnienia tych urządzeń w ciągu 14 dni od wykrycia, aby zapobiec potencjalnym próbom naruszenia.

Powodem tej pilnej potrzeby jest fakt, że udane złamanie zabezpieczeń takich urządzeń dałoby cyberprzestępcom możliwość włączenia zaatakowanych routerów do ich infrastruktury ataku. To z kolei posłużyłoby jako platforma startowa dla bocznego ruchu do wewnętrznych sieci docelowych podmiotów, jak podkreśliło CISA w swoim ostrzeżeniu.

Wykorzystanie AVrecon przez cyberprzestępców służy dwóm celom: pośredniczeniu w ruchu i angażowaniu się w niecne działania, takie jak rozpylanie haseł. Ten odrębny sposób działania odróżnia go od naszych wcześniejszych odkryć szkodliwego oprogramowania opartego na routerach, które koncentrowało się przede wszystkim na bezpośrednim atakowaniu sieci.

Powaga tego zagrożenia wynika z faktu, że routery SOHO zazwyczaj działają poza konwencjonalnymi granicami bezpieczeństwa. W konsekwencji zdolność obrońców do wykrywania niebezpiecznych działań jest znacznie ograniczona. Ta sytuacja podkreśla krytyczne znaczenie szybkiego zabezpieczenia tych urządzeń w celu ograniczenia ryzyka potencjalnych naruszeń i zwiększenia ogólnego bezpieczeństwa sieci.