Zlonamerna programska oprema AryStinger
Novo odkrita družina zlonamerne programske opreme z imenom AryStinger preoblikuje zapuščene domače usmerjevalnike v obsežno izvidniško in proxy omrežje namesto tradicionalnih porazdeljenih botnetov zavrnitve storitve (DDoS), ki so običajno povezani z ogroženimi omrežnimi napravami. Varnostni raziskovalci so že identificirali vsaj 4300 okuženih usmerjevalnikov, pričakuje pa se, da bo število še naprej naraščalo.
Za razliko od običajnih kampanj zlonamerne programske opreme, ki se osredotočajo na motenje storitev, je AryStinger zasnovan za podporo zgodnjim fazam kibernetskih vdorov. Ogrožene naprave se uporabljajo za skeniranje interneta, prepoznavanje delujočih storitev, naštevanje poddomen, tuneliranje omrežnega prometa in oddaljeno izvajanje ukazov, preden se zbrane informacije posredujejo nazaj operaterjem. Vsak okuženi usmerjevalnik učinkovito služi kot izvidniško vozlišče in anonimizirajoči rele, ki prikriva pravi izvor napadalca.
Kazalo
Ciljanje na starajočo se strojno opremo in davno pozabljene ranljivosti
Kampanja je usmerjena predvsem na usmerjevalnike, ki jih poganjajo čipi Realtek RTL819X, strojna oprema, ki se je pogosto uporabljala med letoma 2012 in 2015. Raziskovalci so zlonamerno programsko opremo prvič opazili 12. marca 2026, ko so okužbe izvirale z enega samega naslova IP.
Nameščena zlonamerna programska oprema je bila binarna datoteka ELF za Linux, ki se je sprva izognila zaznavanju s strani vseh iskalnikov na VirusTotal. Okužbo je dosegla z izkoriščanjem dveh starejših ranljivosti:
- CVE-2013-3307, ki vpliva na nekatere usmerjevalnike Linksys.
- CVE-2016-5681, ki vpliva na določene naprave D-Link.
Večina ogroženih sistemov so izdelki D-Link, pri čemer je model DIR-850L predstavljal približno 75 odstotkov okužb. Geografsko so okužbe skoncentrirane v Južni Koreji (48 odstotkov) in na Kitajskem (32 odstotkov), sledijo pa jim Švedska, Malezija in Singapur.
Širitev onkraj usmerjevalnikov
Druga različica zlonamerne programske opreme se je pojavila 26. aprila 2026 in je ciljala na naprave QNAP NAS prek ranljivosti CVE-2025-11837, ki vbrizgava kodo in vpliva na pripomoček QNAP Malware Remover. Čeprav je bila ranljivost odpravljena že novembra 2025, so jo napadalci začeli izkoriščati nekaj mesecev pozneje.
Ironično je, da je vektor okužbe lastna aplikacija za odstranjevanje zlonamerne programske opreme, ki jo je razvila naprava NAS. Poročani podatek o 4300 ogroženih sistemih vključuje le okužene usmerjevalnike RTL819X in ne upošteva prizadetih naprav NAS.
Lahka zlonamerna programska oprema z zmogljivimi zmogljivostmi
Različica AryStingerja za usmerjevalnike je napisana v jeziku C in zaradi omejenih virov starejše strojne opreme namerno ostaja lahka. Njeni glavni funkciji sta množično skeniranje DNS in tuneliranje prometa.
Različica NAS, razvita v jeziku Go, ponuja bistveno širše zmogljivosti. Lahko skenira tako notranja kot zunanja omrežja ter uporablja izvidniške pripomočke, kot so fscan, ksubdomain in httpx. Funkcija, znana kot ScriptWork, omogoča operaterjem, da neposredno na okuženem sistemu izvajajo izvorno kodo Go, Java ali Python, ki jo zagotovi napadalec, s čimer se odpravi potreba po prevajanju ločenih binarnih datotek za vsako tarčo.
Komunikacija med okuženimi napravami in strežniki za upravljanje in nadzor (C2) poteka prek HTTP in HTTPS z uporabo prometa, kodiranega s Protobufom, ki je zakrit s preprosto shemo XOR, medtem ko različica, ki temelji na Go, doda stiskanje gzip. Velike naloge skeniranja so razdeljene na manjše segmente in porazdeljene po botnetu, kar omogoča vzporedne izvidniške operacije.
Vztrajnost in možnost zlorabe
Zlonamerna programska oprema vzdržuje dolgoročni dostop z namestitvijo strežnika Dropbear SSH na vrata 2332 za usmerjevalnike in gs-netcat na ogrožene sisteme NAS. Preiskovalci so identificirali tudi trdo kodiran ključ za preverjanje pristnosti »sh_#@!_2024_secret«, katerega vključitev »2024« lahko kaže na to, da se je razvoj operacije začel tistega leta, čeprav tega ni mogoče z gotovostjo potrditi.
Čeprav se zdi, da je glavni cilj izvidovanje, je mogoče zmogljivosti skeniranja DNS zlonamerne programske opreme preusmeriti tudi proti razreševalnikom DNS, da se po potrebi ustvari promet zavrnitve storitve.
Znan vzorec: omrežja operativnih relejnih omaric
Infrastruktura, ki jo je ustvaril AryStinger, je zelo podobna omrežjem Operational Relay Box (ORB). Ta omrežja so sestavljena iz ogroženih usmerjevalnikov z iztekom življenjske dobe in naprav interneta stvari, ki akterjem groženj omogočajo izvajanje operacij skeniranja in posredovanje zlonamernega prometa, hkrati pa jih je težko izslediti.
Ta pristop je podoben prejšnjim incidentom. Maja 2025 sta FBI in ameriško ministrstvo za pravosodje razbila storitev 5socks in Anyproxy, ki sta monetizirali dostop do stanovanjskih proxy strežnikov z izkoriščanjem zastarelih usmerjevalnikov Linksys in Cisco, okuženih z zlonamerno programsko opremo TheMoon. V zadnjem času so se operacije ORB, kot je LapDogs, podobno zanašale na nepopravljene ranljivosti v starajočih se napravah.
Trenutno AryStinger ni dokončno pripisan nobenemu specifičnemu akterju grožnje. Vendar pa je operativni model nedvoumen: zastarela strojna oprema in pozabljene ranljivosti se pretvarjajo v prikrito infrastrukturo, ki podpira začetne faze sofisticiranih kibernetskih vdorov.
Strategije za odkrivanje in ublažitev
Organizacije in posamezniki, ki upravljajo potencialno prizadeto opremo, bi morali nemudoma raziskati morebitne znake ogrožanja in izvesti dolgoročne sanacijske ukrepe.
- Spremljajte odhodne povezave s strežniki za upravljanje in nadzor AryStinger ter domenami za prenos.
- Preverite imenik /tmp/bin za neznane binarne datoteke.
- Poiščite sumljive procese z imenom syswapd0h ali syswapd0w.
Najučinkovitejša obramba ostaja preprosta: upokojiti omrežno opremo, ki ji je konec življenjske dobe in ne prejema več posodobitev vdelane programske opreme, in po možnosti onemogočiti oddaljeno upravljanje na napravah, ki so izpostavljene internetu. Strojna oprema, ki je pred leti prenehala prejemati varnostne popravke, verjetno ne bo deležna zaščite pred sodobnimi grožnjami.