AVRrecon Botnet Malware

Din mai 2021, un malware Linux extrem de ascuns, cunoscut sub numele de AVrecon, a fost folosit pentru a infiltra peste 70.000 de routere de birou/birou de acasă (SOHO) care operează pe sisteme bazate pe Linux. Aceste routere compromise sunt apoi încorporate într-o rețea bot, având un scop dublu: furtul de lățime de bandă și stabilirea unui serviciu proxy rezidențial ascuns. Potrivit experților Infosec, din cele 70 000 de dispozitive compromise de AVrecon, aproximativ 40 000 au fost încorporate într-o rețea botnet.

Prin utilizarea acestei rețele bot, operatorii AVrecon pot ascunde în mod eficient o serie de întreprinderi dăunătoare. Aceste activități cuprind un spectru larg, variind de la scheme de publicitate digitală frauduloasă până la atacuri de pulverizare a parolelor. Disponibilitatea unui serviciu proxy rezidențial ascuns le oferă un mijloc de a-și anonimiza operațiunile și de a exploata infrastructura de rețea compromisă pentru a-și desfășura activitățile nefaste nedetectate.

Programul malware AVrecon funcționează silențios pe dispozitivele încălcate

De la detectarea sa inițială în mai 2021, AVrecon a demonstrat o capacitate remarcabilă de a evita detectarea. Inițial, a vizat routerele Netgear și a reușit să rămână nedetectat timp de peste doi ani, extinzându-și în mod constant acoperirea prin captarea de noi roți. Această creștere neobosită l-a determinat să devină una dintre cele mai mari rețele bot care vizează routerele mici de birou/oficiu de acasă (SOHO) în ultima vreme.

Actorii amenințărilor din spatele acestui malware par să se fi concentrat strategic pe exploatarea dispozitivelor SOHO pe care utilizatorii erau mai puțin probabil să le corecteze împotriva vulnerabilităților și expunerilor cunoscute (CVE). Prin adoptarea unei abordări mai precaute, operatorii au reușit să opereze pe furiș pentru o perioadă îndelungată, eludând detectarea timp de peste doi ani. Natura secretă a malware-ului a însemnat că proprietarii de dispozitive infectate au întâmpinat rareori întreruperi notabile ale serviciului sau pierderi de lățime de bandă, permițând în continuare rețelei botnet să rămână nedetectate.

Odată ce un router este infectat, malware-ul continuă să transmită informațiile dispozitivului compromis către un server de comandă și control (C2) încorporat. Ulterior, mașina piratată primește instrucțiuni pentru a stabili comunicarea cu un set separat de servere cunoscute sub numele de servere C2 din a doua etapă. În timpul investigației lor, cercetătorii de securitate au identificat un total de 15 servere de control din a doua etapă. Aceste servere sunt operaționale cel puțin din octombrie 2021, așa cum este determinat de informațiile certificatului x.509.

Prezența acestor servere C2 din a doua etapă evidențiază infrastructura și organizarea sofisticate folosite de actorii amenințărilor din spatele malware-ului. Acesta subliniază și mai mult provocările cu care se confruntă experții în securitate cibernetică în combaterea și atenuarea impactului acestei rețele botne persistente și evazive.

Dispozitivele SOHO compromise ar putea duce la consecințe grave

Într-o directivă operațională obligatorie (BOD) emisă recent de Agenția de securitate cibernetică și a infrastructurii (CISA), agențiile federale din SUA au fost mandatate să ia măsuri imediate pentru a securiza echipamentele de rețea expuse la Internet, inclusiv routerele SOHO. Această directivă cere agențiilor federale să întărească aceste dispozitive în termen de 14 zile de la descoperire pentru a preveni potențialele încercări de încălcare.

Motivul din spatele acestei urgențe este că un compromis cu succes a unor astfel de dispozitive ar oferi actorilor amenințărilor capacitatea de a încorpora routerele compromise în infrastructura lor de atac. Aceasta, la rândul său, ar servi drept rampă de lansare pentru mișcarea laterală în rețelele interne ale entităților vizate, așa cum a subliniat CISA în avertismentul lor.

Utilizarea AVrecon de către actorii amenințărilor are un dublu scop: transferarea traficului și implicarea în activități nefaste, cum ar fi pulverizarea parolelor. Acest modus operandi distinct îl diferențiază de descoperirile noastre anterioare de malware bazat pe router, care s-au concentrat în primul rând pe direcționarea directă a rețelei.

Gravitatea acestei amenințări provine din faptul că routerele SOHO funcționează de obicei în afara perimetrului de securitate convențional. În consecință, capacitatea apărătorilor de a detecta activități nesigure este semnificativ diminuată. Această situație evidențiază importanța critică a securizării prompte a acestor dispozitive pentru a atenua riscul potențialelor încălcări și pentru a îmbunătăți securitatea generală a rețelei.