Malvér AVrecon Botnet

Od mája 2021 sa používa vysoko skrytý linuxový malvér známy ako AVrecon na infiltráciu viac ako 70 000 smerovačov pre malé kancelárie/domáce kancelárie (SOHO) fungujúcich na systémoch založených na Linuxe. Tieto napadnuté smerovače sú potom začlenené do botnetu, ktorý slúži na dvojaký účel: krádeže šírky pásma a vytvorenie skrytej rezidenčnej proxy služby. Podľa odborníkov z Infosec bolo zo 70 000 zariadení napadnutých AVreconom približne 40 000 začlenených do botnetu.

Využitím tohto botnetu môžu prevádzkovatelia AVrecon účinne utajiť celý rad škodlivých podnikov. Tieto aktivity zahŕňajú široké spektrum, od podvodných digitálnych reklamných schém až po útoky so sprejovaním hesiel. Dostupnosť skrytej rezidenčnej proxy služby im poskytuje prostriedky na anonymizáciu ich operácií a zneužitie ohrozenej sieťovej infraštruktúry na vykonávanie ich hanebných činností bez odhalenia.

Malvér AVrecon funguje na poškodených zariadeniach ticho

Od svojej počiatočnej detekcie v máji 2021 AVrecon preukázal pozoruhodnú schopnosť vyhnúť sa detekcii. Spočiatku sa zameral na smerovače Netgear a podarilo sa mu zostať nezistený viac ako dva roky, pričom neustále rozširoval svoj dosah chytaním nových robotov. Tento neutíchajúci rast z neho v poslednej dobe poháňal jeden z najväčších botnetov zameraných na smerovače pre malé kancelárie/domáce kancelárie (SOHO).

Zdá sa, že aktéri hrozieb stojaci za týmto malvérom sa strategicky zamerali na zneužívanie zariadení SOHO, ktoré používatelia s menšou pravdepodobnosťou opravili proti známym zraniteľnostiam a rizikám (CVE). Prijatím opatrnejšieho prístupu boli operátori schopní pracovať tajne počas dlhšieho obdobia, pričom unikli detekcii viac ako dva roky. Skrytá povaha malvéru znamenala, že majitelia infikovaných zariadení len zriedka zaznamenali výrazné prerušenie služieb alebo stratu šírky pásma, čo ďalej umožnilo, aby botnet zostal nezistený.

Keď je smerovač infikovaný, malvér pokračuje v prenose informácií o napadnutom zariadení na vstavaný server Command-and-Control (C2). Následne hacknutý stroj dostane inštrukcie na nadviazanie komunikácie so samostatnou sadou serverov známou ako servery druhej fázy C2. Bezpečnostní výskumníci počas vyšetrovania identifikovali celkovo 15 kontrolných serverov druhej fázy. Tieto servery sú v prevádzke minimálne od októbra 2021, ako to určujú informácie o certifikáte x.509.

Prítomnosť týchto serverov C2 druhej fázy poukazuje na sofistikovanú infraštruktúru a organizáciu, ktorú používajú aktéri hrozieb za malvérom. Ďalej podčiarkuje výzvy, ktorým čelia odborníci na kybernetickú bezpečnosť v boji proti tomuto pretrvávajúcemu a nepolapiteľnému botnetu a jeho zmierňovaní.

Kompromitované zariadenia SOHO by mohli viesť k vážnym následkom

V záväznej prevádzkovej smernici (BOD), ktorú nedávno vydala Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA), boli federálne agentúry USA poverené podniknúť okamžité kroky na zabezpečenie sieťových zariadení vystavených internetu, vrátane smerovačov SOHO. Táto smernica vyžaduje, aby federálne agentúry posilnili tieto zariadenia do 14 dní od objavenia, aby sa zabránilo možným pokusom o narušenie.

Dôvodom tejto naliehavosti je, že úspešné kompromitovanie takýchto zariadení by umožnilo aktérom hrozby začleniť napadnuté smerovače do svojej útočnej infraštruktúry. To by zase slúžilo ako štartovacia plocha pre laterálny pohyb do vnútorných sietí cieľových entít, ako to zdôraznilo CISA vo svojom varovaní.

Využitie AVrecon aktérmi hrozieb slúži na dvojaký účel: proxy prevádzku a zapojenie sa do hanebných činností, ako je sprejovanie hesiel. Tento odlišný modus operandi ho odlišuje od našich predchádzajúcich objavov malvéru založeného na smerovači, ktorý sa primárne zameriaval na priame zacielenie siete.

Závažnosť tejto hrozby vyplýva zo skutočnosti, že smerovače SOHO zvyčajne fungujú mimo konvenčného bezpečnostného perimetra. V dôsledku toho je schopnosť obrancov odhaliť nebezpečné aktivity výrazne znížená. Táto situácia poukazuje na kritický význam rýchleho zabezpečenia týchto zariadení, aby sa znížilo riziko potenciálneho narušenia a zlepšila sa celková bezpečnosť siete.