Вредоносное ПО ботнета AVrecon

С мая 2021 года скрытое вредоносное ПО для Linux, известное как AVrecon, использовалось для проникновения в более чем 70 000 маршрутизаторов малых офисов/домашних офисов (SOHO), работающих на системах на базе Linux. Затем эти скомпрометированные маршрутизаторы включаются в ботнет, который служит двойной цели: краже полосы пропускания и установке скрытого резидентного прокси-сервиса. По данным экспертов информационной безопасности, из 70 000 скомпрометированных AVrecon устройств около 40 000 были включены в ботнет.

Используя этот ботнет, операторы AVrecon могут эффективно скрывать множество вредоносных действий. Эти действия охватывают широкий спектр, начиная от мошеннических схем цифровой рекламы и заканчивая атаками с использованием паролей. Доступность скрытого резидентного прокси-сервиса дает им возможность анонимизировать свои операции и использовать скомпрометированную сетевую инфраструктуру для осуществления своих гнусных действий незамеченными.

Вредоносное ПО AVrecon тихо работает на взломанных устройствах

С момента своего первоначального обнаружения в мае 2021 года AVrecon продемонстрировал замечательную способность уклоняться от обнаружения. Первоначально он был нацелен на маршрутизаторы Netgear, и ему удавалось оставаться незамеченным более двух лет, неуклонно расширяя свое присутствие за счет новых ботов. Этот неуклонный рост привел к тому, что за последнее время он стал одной из крупнейших бот-сетей, нацеленных на маршрутизаторы для малых и домашних офисов (SOHO).

Злоумышленники, стоящие за этим вредоносным ПО, по-видимому, стратегически сосредоточились на использовании устройств SOHO, которые пользователи с меньшей вероятностью будут исправлять известными уязвимостями и воздействиями (CVE). Приняв более осторожный подход, операторы смогли действовать скрытно в течение длительного периода, избегая обнаружения более двух лет. Скрытый характер вредоносного ПО означал, что владельцы зараженных устройств редко сталкивались с заметными перебоями в обслуживании или потерей пропускной способности, что также позволяло ботнету оставаться незамеченным.

После заражения маршрутизатора вредоносная программа передает информацию о скомпрометированном устройстве на встроенный сервер управления и контроля (C2). Впоследствии взломанная машина получает инструкции по установлению связи с отдельным набором серверов, известных как C2-серверы второго уровня. В ходе своего расследования исследователи безопасности выявили в общей сложности 15 управляющих серверов второго уровня. Эти серверы работают как минимум с октября 2021 года, что определяется информацией о сертификате x.509.

Наличие этих C2-серверов второго уровня подчеркивает сложную инфраструктуру и организацию, используемые злоумышленниками, стоящими за вредоносной программой. Это еще раз подчеркивает проблемы, с которыми сталкиваются эксперты по кибербезопасности в борьбе с этим стойким и неуловимым ботнетом и смягчении его последствий.

Скомпрометированные устройства SOHO могут привести к серьезным последствиям

В обязательной оперативной директиве (BOD), недавно выпущенной Агентством по кибербезопасности и безопасности инфраструктуры (CISA), федеральным агентствам США было поручено принять немедленные меры для защиты сетевого оборудования, доступного в Интернет, включая маршрутизаторы SOHO. Эта директива требует, чтобы федеральные агентства укрепили эти устройства в течение 14 дней после обнаружения, чтобы предотвратить возможные попытки взлома.

Причина такой срочности заключается в том, что успешная компрометация таких устройств предоставит злоумышленникам возможность включить скомпрометированные маршрутизаторы в свою инфраструктуру атаки. Это, в свою очередь, послужит стартовой площадкой для горизонтального перемещения во внутренние сети целевых объектов, как подчеркивается в предупреждении CISA.

Использование AVrecon злоумышленниками служит двойной цели: проксирование трафика и участие в гнусных действиях, таких как распыление паролей. Этот особый метод работы отличает его от наших предыдущих обнаружений вредоносных программ для маршрутизаторов, которые в основном были сосредоточены на прямом нацеливании на сеть.

Серьезность этой угрозы возникает из-за того, что маршрутизаторы SOHO обычно работают за пределами обычного периметра безопасности. Следовательно, способность защитников обнаруживать небезопасные действия значительно снижается. Эта ситуация подчеркивает критическую важность быстрой защиты этих устройств для снижения риска потенциальных нарушений и повышения общей безопасности сети.