Botnet AIRASHI
Zraniteľnosť nultého dňa v smerovačoch cnPilot spoločnosti Cambium Networks sa stala najnovším nástrojom pre kyberzločincov, ktorí nasadzujú variant botnetu AISURU známy ako AIRASHI. Táto kampaň, ktorá je aktívna od júna 2024, využíva túto chybu na organizáciu výkonných útokov typu Distributed Denial-of-Service (DDoS). Bezpečnostní výskumníci zatajili špecifiká o zraniteľnosti, aby sa obmedzilo jej zneužitie počas prebiehajúceho vyšetrovania.
Obsah
História zneužitých zraniteľností
Botnet AIRASHI nie je obmedzený na jeden vektor útoku. Vyzbrojuje sériu zraniteľností vrátane CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-85025, CVE-2020-85025, CVE-3235 CVE-2022-40005, CVE-2022-44149, CVE-2023-287 a ďalšie chyby zistené v IP kamerách AVTECH, rekordéroch LILIN a zariadeniach Shenzhen TVT. Využitím tohto širokého spektra nedostatkov AIRASHI naďalej rozširuje svoj dosah a sofistikovanosť.
Útočné schopnosti DDoS: Bližší pohľad
Operátori stojaci za AIRASHI sa nehanbia svojich aktivít a uverejňujú výsledky testov DDoS schopností svojho botnetu na telegrame. Historické údaje ukazujú, že jeho kapacita útoku sa stabilizuje okolo 1-3 Tbps. Geograficky sa najviac napadnutých zariadení nachádza v Brazílii, Rusku, Vietname a Indonézii. Ciele sú však sústredené v regiónoch ako Čína, Spojené štáty americké, Poľsko a Rusko, kde škodlivé operácie botnetu spôsobili najväčšie narušenie.
Evolúcia AISURU k AIRASHI
AIRASHI pochádza z botnetu AISURU, ktorý bol predtým identifikovaný v auguste 2024 počas vysokoprofilového DDoS útoku na Steam, ktorý sa zhodoval s vydaním hry Black Myth: Wukong. Po dočasnom zastavení svojej činnosti v septembri 2024 sa botnet opäť objavil s aktualizovanými funkciami s kódovým označením „mačiatko“ a do novembra bol ďalej prerobený ako AIRASHI.
Dvojúčelový botnet: AIRASHI-DDoS a AIRASHI-Proxy
AIRASHI funguje v dvoch odlišných formách:
- AIRASHI-DDoS : Tento variant, zistený koncom októbra 2024, sa zameriava na útoky DDoS, ale rozširuje svoje možnosti tak, aby zahŕňal vykonávanie ľubovoľných príkazov a spätný prístup k shellu.
- AIRASHI-Proxy : Odhalená v decembri 2024, táto variácia pridáva funkciu proxy, čo signalizuje diverzifikáciu služieb nad rámec DDoS operácií.
Pokrok v komunikácii a šifrovaní
Na zabezpečenie bezpečných a efektívnych operácií využíva AIRASHI nový sieťový protokol využívajúci šifrovacie algoritmy HMAC-SHA256 a CHACHA20. Zatiaľ čo AIRASHI-DDoS podporuje 13 rôznych typov správ, AIRASHI-Proxy využíva efektívnejší prístup s piatimi. Botnet navyše dynamicky upravuje svoje metódy na získavanie podrobností servera Command-and-Control (C2) prostredníctvom dotazov DNS.
Botnety a zariadenia internetu vecí: Trvalá kybernetická hrozba
Zistenia poukazujú na to, že kybernetickí zločinci neustále využívajú zraniteľné miesta zariadení internetu vecí. Zariadenia internetu vecí slúžia ako vstupný bod pre zlých aktérov a zároveň základ pre budovanie robustných botnetov. Využitím týchto kompromitovaných zariadení aktéri hrozieb zosilňujú silu DDoS útokov a poukazujú na kritickú potrebu zvýšenej bezpečnosti zariadení v ekosystéme internetu vecí.
