AIRASHI Botnet
Ranljivost ničelnega dne v usmerjevalnikih cnPilot podjetja Cambium Networks je postala najnovejše orodje za kibernetske kriminalce, ki uvajajo različico botneta AISURU, znano kot AIRASHI. Ta kampanja, ki je aktivna od junija 2024, izkorišča napako za orkestriranje močnih napadov porazdeljene zavrnitve storitve (DDoS). Varnostni raziskovalci so zamolčali podrobnosti o ranljivosti, da bi omejili njeno zlorabo, medtem ko preiskave še potekajo.
Kazalo
Zgodovina izkoriščenih ranljivosti
Botnet AIRASHI ni omejen na en vektor napada. Uporablja vrsto ranljivosti kot orožje, vključno s CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 in druge napake, najdene v kamerah IP AVTECH, DVR-jih LILIN in napravah Shenzhen TVT. Z izkoriščanjem tega širokega spektra slabosti AIRASHI še naprej povečuje svoj doseg in prefinjenost.
Zmogljivosti napadov DDoS: pogled od blizu
Operaterji, ki stojijo za AIRASHI, niso sramežljivi glede svojih dejavnosti in na Telegramu objavljajo rezultate testiranja zmogljivosti DDoS svojega botneta. Zgodovinski podatki kažejo, da se njegova zmogljivost napada stabilizira okoli 1-3 Tbps. Geografsko je večina ogroženih naprav v Braziliji, Rusiji, Vietnamu in Indoneziji. Vendar so cilji skoncentrirani v regijah, kot so Kitajska, Združene države, Poljska in Rusija, kjer je škodljivo delovanje botneta povzročilo največ motenj.
Razvoj AISURU v AIRASHI
AIRASHI izvira iz botneta AISURU, ki je bil predhodno identificiran avgusta 2024 med odmevnim napadom DDoS na Steam, ki je sovpadel z izdajo igre Black Myth: Wukong. Po začasni ustavitvi delovanja septembra 2024 se je botnet ponovno pojavil s posodobljenimi funkcijami s kodnim imenom »kitty« in je bil do novembra dodatno prenovljen v AIRASHI.
Botnet z dvojnim namenom: AIRASHI-DDoS in AIRASHI-Proxy
AIRASHI deluje v dveh različnih oblikah:
- AIRASHI-DDoS : Ta različica, ki je bila odkrita konec oktobra 2024, se osredotoča na napade DDoS, vendar razširja svoje zmogljivosti, da vključuje poljubno izvajanje ukazov in dostop do povratne lupine.
- AIRASHI-Proxy : Ta različica, ki je bila predstavljena decembra 2024, dodaja funkcijo posrednika, kar nakazuje raznolikost storitev, ki presegajo operacije DDoS.
Napredovanje komunikacije in šifriranja
Za zagotovitev varnega in učinkovitega delovanja AIRASHI uporablja nov omrežni protokol, ki izkorišča šifrirne algoritme HMAC-SHA256 in CHACHA20. Medtem ko AIRASHI-DDoS podpira 13 različnih vrst sporočil, AIRASHI-Proxy uporablja bolj poenostavljen pristop s petimi. Poleg tega botnet dinamično prilagaja svoje metode za pridobivanje podrobnosti strežnika Command-and-Control (C2) prek poizvedb DNS.
Botneti in naprave IoT: stalna kibernetska grožnja
Ugotovitve poudarjajo vztrajno izkoriščanje ranljivosti naprav interneta stvari s strani kibernetskih kriminalcev. Naprave interneta stvari služijo kot vstopna točka za slabe akterje in temelj za gradnjo robustnih botnetov. Z izkoriščanjem teh ogroženih naprav akterji groženj povečajo moč napadov DDoS, kar kaže na kritično potrebo po izboljšani varnosti naprav v ekosistemu IoT.
