Zlonamerna programska oprema AVrecon Botnet

Od maja 2021 naprej je bila zelo prikrita zlonamerna programska oprema za Linux, znana kot AVrecon, uporabljena za infiltracijo v več kot 70.000 usmerjevalnikov za male pisarne/domače pisarne (SOHO), ki delujejo na sistemih, ki temeljijo na Linuxu. Ti ogroženi usmerjevalniki so nato vključeni v botnet, ki služi dvojnemu namenu: kraji pasovne širine in vzpostavitvi skrite rezidenčne storitve proxy. Po mnenju strokovnjakov za infosec je bilo od 70 000 naprav, ki jih je ogrozil AVrecon, približno 40 000 vključenih v botnet.

Z uporabo tega botneta lahko upravljavci AVrecona učinkovito prikrijejo vrsto škodljivih podvigov. Te dejavnosti zajemajo širok spekter, od goljufivih digitalnih oglaševalskih shem do napadov z uporabo gesel. Razpoložljivost skritih rezidenčnih proxy storitev jim zagotavlja sredstva za anonimiziranje njihovih operacij in izkoriščanje ogrožene omrežne infrastrukture za neopaženo izvajanje njihovih zlobnih dejavnosti.

Zlonamerna programska oprema AVrecon deluje tiho na napravah, v katerih je prišlo do zloma

Od začetnega odkritja maja 2021 je AVrecon pokazal izjemno sposobnost izogibanja odkrivanju. Sprva je ciljal na usmerjevalnike Netgear in uspel ostati neodkrit več kot dve leti ter vztrajno širiti svoj doseg z ujetjem novih botov. Ta neusmiljena rast ga je pripeljala do tega, da je v zadnjem času postal eden največjih botnetov, ki cilja na usmerjevalnike za male pisarne/domače pisarne (SOHO).

Zdi se, da so akterji groženj, ki stojijo za to zlonamerno programsko opremo, strateško osredotočeni na izkoriščanje naprav SOHO, za katere je manj verjetno, da bi jih uporabniki popravili proti znanim ranljivostim in izpostavljenostim (CVE). S sprejetjem previdnejšega pristopa so operaterji lahko dlje časa delovali prikrito in se več kot dve leti izmikali odkritju. Prikrita narava zlonamerne programske opreme je pomenila, da so lastniki okuženih naprav le redko doživeli opazne motnje storitev ali izgubo pasovne širine, kar je botnetu še dodatno omogočilo, da je ostal neodkrit.

Ko je usmerjevalnik okužen, zlonamerna programska oprema nadaljuje s prenosom informacij o ogroženi napravi v vgrajeni strežnik za ukazovanje in nadzor (C2). Nato vdrti stroj prejme navodila za vzpostavitev komunikacije z ločenim nizom strežnikov, znanih kot strežniki druge stopnje C2. Med preiskavo so varnostni raziskovalci identificirali skupaj 15 nadzornih strežnikov druge stopnje. Ti strežniki delujejo vsaj od oktobra 2021, kot je določeno s podatki potrdila x.509.

Prisotnost teh strežnikov C2 druge stopnje poudarja sofisticirano infrastrukturo in organizacijo, ki jo uporabljajo akterji groženj, ki stojijo za zlonamerno programsko opremo. Nadalje poudarja izzive, s katerimi se soočajo strokovnjaki za kibernetsko varnost pri boju proti in ublažitvi vpliva tega vztrajnega in izmuzljivega botneta.

Ogrožene naprave SOHO lahko povzročijo resne posledice

V zavezujoči operativni direktivi (BOD), ki jo je nedavno izdala Agencija za kibernetsko varnost in varnost infrastrukture (CISA), so bile ameriške zvezne agencije pooblaščene, da sprejmejo takojšnje ukrepe za zaščito omrežne opreme, izpostavljene internetu, vključno z usmerjevalniki SOHO. Ta direktiva od zveznih agencij zahteva, da okrepijo te naprave v 14 dneh po odkritju, da preprečijo morebitne poskuse kršitev.

Razlog za to nujnost je, da bi uspešen kompromis takšnih naprav akterjem groženj omogočil, da ogrožene usmerjevalnike vključijo v svojo napadalno infrastrukturo. To pa bi služilo kot lansirna ploščad za stransko premikanje v notranja omrežja ciljnih subjektov, kot poudarja CISA v svojem opozorilu.

Uporaba AVrecona s strani akterjev groženj ima dvojni namen: posredovanje prometa in vključevanje v nečedne dejavnosti, kot je razprševanje gesel. Ta poseben način delovanja ga ločuje od naših prejšnjih odkritij zlonamerne programske opreme na osnovi usmerjevalnika, ki se je osredotočala predvsem na neposredno ciljanje na omrežje.

Resnost te grožnje izhaja iz dejstva, da SOHO usmerjevalniki običajno delujejo zunaj običajnega varnostnega območja. Posledično je sposobnost zagovornikov za odkrivanje nevarnih dejavnosti bistveno zmanjšana. Ta situacija poudarja ključno pomembnost takojšnjega zavarovanja teh naprav za zmanjšanje tveganja morebitnih vdorov in izboljšanje splošne varnosti omrežja.