AIRASHI Botnet
O vulnerabilitate zero-day a routerelor cnPilot de la Cambium Networks a devenit cel mai recent instrument pentru infractorii cibernetici care implementează o variantă botnet AISURU cunoscută sub numele de AIRASHI. Această campanie, activă din iunie 2024, exploatează defectul de a orchestra atacuri puternice de tip Distributed Denial-of-Service (DDoS). Cercetătorii în domeniul securității au ascuns informații despre vulnerabilitate pentru a limita utilizarea abuzivă a acesteia în timp ce investigațiile sunt în desfășurare.
Cuprins
O istorie a vulnerabilităților exploatate
Rețeaua botnet AIRASHI nu se limitează la un singur vector de atac. Acesta armonizează o serie de vulnerabilități, inclusiv CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-3573 CVE-2022-40005, CVE-2022-44149, CVE-2023-287 și alte defecte găsite la camerele IP AVTECH, DVR-urile LILIN și dispozitivele Shenzhen TVT. Prin exploatarea acestui spectru larg de puncte slabe, AIRASHI continuă să-și dezvolte acoperirea și sofisticarea.
Capabilități de atac DDoS: o privire mai atentă
Operatorii din spatele AIRASHI nu se sfiesc cu privire la activitățile lor, postând rezultatele testelor pentru capabilitățile DDoS ale rețelei lor botnet pe Telegram. Datele istorice arată că capacitatea sa de atac se stabilizează în jur de 1-3 Tbps. Din punct de vedere geografic, cele mai multe dispozitive compromise se află în Brazilia, Rusia, Vietnam și Indonezia. Cu toate acestea, obiectivele sunt concentrate în regiuni precum China, Statele Unite, Polonia și Rusia, unde operațiunile dăunătoare ale rețelei botnet au cauzat cele mai multe perturbări.
Evoluția lui AISURU la AIRASHI
AIRASHI provine din botnetul AISURU, care a fost identificat anterior în august 2024 în timpul unui atac DDoS de mare profil pe Steam, care a coincis cu lansarea jocului Black Myth: Wukong. După ce și-a oprit temporar operațiunile în septembrie 2024, rețeaua botnet a reapărut cu funcții actualizate cu nume de cod „pisicuță” și a fost modernizată în continuare ca AIRASHI până în noiembrie.
O rețea botnet cu dublu scop: AIRASHI-DDoS și AIRASHI-Proxy
AIRASHI operează în două forme distincte:
- AIRASHI-DDoS : Detectată la sfârșitul lunii octombrie 2024, această variantă se concentrează pe atacurile DDoS, dar își extinde capacitățile pentru a include execuția de comenzi arbitrare și accesul invers shell.
- AIRASHI-Proxy : Dezvăluită în decembrie 2024, această variantă adaugă funcționalitate proxy, semnalând o diversificare a serviciilor dincolo de operațiunile DDoS.
Avansarea comunicării și criptării
Pentru a asigura operațiuni sigure și eficiente, AIRASHI folosește un nou protocol de rețea care folosește algoritmii de criptare HMAC-SHA256 și CHACHA20. În timp ce AIRASHI-DDoS acceptă 13 tipuri de mesaje distincte, AIRASHI-Proxy folosește o abordare mai simplificată cu cinci. În plus, botnet-ul își ajustează în mod dinamic metodele pentru a prelua detaliile serverului Command-and-Control (C2) prin interogări DNS.
Rețele bot și dispozitive IoT: o amenințare cibernetică persistentă
Descoperirile evidențiază exploatarea persistentă de către infractorii cibernetici a vulnerabilităților dispozitivelor IoT. Dispozitivele IoT servesc atât ca punct de intrare pentru actorii răi, cât și ca fundație pentru construirea de rețele botnet robuste. Prin valorificarea acestor dispozitive compromise, actorii amenințărilor amplifică puterea atacurilor DDoS, arătând nevoia critică de securitate îmbunătățită a dispozitivelor în ecosistemul IoT.
