Ботнет AIRASHI
Уязвимость нулевого дня в маршрутизаторах cnPilot компании Cambium Networks стала новейшим инструментом для киберпреступников, использующих вариант ботнета AISURU, известный как AIRASHI. Эта кампания, действующая с июня 2024 года, использует уязвимость для организации мощных атак типа «распределенный отказ в обслуживании» (DDoS). Исследователи безопасности не раскрывают подробности об уязвимости, чтобы ограничить ее неправомерное использование, пока ведутся расследования.
Оглавление
История использованных уязвимостей
Ботнет AIRASHI не ограничивается одним вектором атаки. Он использует ряд уязвимостей, включая CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 и другие недостатки, обнаруженные в IP-камерах AVTECH, видеорегистраторах LILIN и устройствах Shenzhen TVT. Используя этот широкий спектр уязвимостей, AIRASHI продолжает расширять свое присутствие и изощряться.
Возможности DDoS-атак: более пристальный взгляд
Операторы, стоящие за AIRASHI, не стесняются своей деятельности, публикуя результаты тестирования возможностей DDoS своего ботнета в Telegram. Исторические данные показывают, что его мощность атаки стабилизируется на уровне 1-3 Тбит/с. Географически большинство скомпрометированных устройств находятся в Бразилии, России, Вьетнаме и Индонезии. Однако цели сосредоточены в таких регионах, как Китай, США, Польша и Россия, где вредоносные операции ботнета вызвали наибольшие сбои.
Эволюция АЙСУРУ в АЙРАШИ
AIRASHI происходит от ботнета AISURU, который ранее был идентифицирован в августе 2024 года во время громкой DDoS-атаки на Steam, совпавшей с выпуском игры Black Myth: Wukong. После временной остановки своей работы в сентябре 2024 года ботнет вновь появился с обновленными функциями под кодовым названием «kitty» и был дополнительно переработан как AIRASHI к ноябрю.
Ботнет двойного назначения: AIRASHI-DDoS и AIRASHI-Proxy
AIRASHI действует в двух различных формах:
- AIRASHI-DDoS : обнаруженный в конце октября 2024 года, этот вариант ориентирован на DDoS-атаки, но расширяет свои возможности, включая произвольное выполнение команд и обратный доступ к оболочке.
- AIRASHI-Proxy : представленный в декабре 2024 года, этот вариант добавляет функциональность прокси-сервера, сигнализируя о диверсификации услуг за пределами операций DDoS.
Развитие коммуникаций и шифрования
Для обеспечения безопасной и эффективной работы AIRASHI использует новый сетевой протокол, использующий алгоритмы шифрования HMAC-SHA256 и CHACHA20. В то время как AIRASHI-DDoS поддерживает 13 различных типов сообщений, AIRASHI-Proxy использует более рационализированный подход с пятью. Кроме того, ботнет динамически корректирует свои методы для получения данных сервера Command-and-Control (C2) через DNS-запросы.
Ботнеты и устройства Интернета вещей: постоянная киберугроза
Результаты исследования подчеркивают постоянную эксплуатацию киберпреступниками уязвимостей устройств IoT. Устройства IoT служат как точкой входа для злоумышленников, так и основой для создания надежных ботнетов. Используя эти скомпрометированные устройства, злоумышленники усиливают мощь DDoS-атак, демонстрируя критическую необходимость в усиленной безопасности устройств в экосистеме IoT.
