AIRASHI Botnet

Një cenueshmëri e ditës zero në ruterat cnPilot të Cambium Networks është bërë mjeti më i fundit për kriminelët kibernetikë që vendosin një variant botnet AISURU të njohur si AIRASHI. Kjo fushatë, aktive që nga qershori 2024, shfrytëzon të metën për të orkestruar sulme të fuqishme të mohimit të shërbimit të shpërndarë (DDoS). Studiuesit e sigurisë kanë fshehur specifikat në lidhje me cenueshmërinë për të kufizuar keqpërdorimin e tij ndërsa hetimet janë në vazhdim.

Një histori e dobësive të shfrytëzuara

Botneti AIRASHI nuk është i kufizuar në një vektor të vetëm sulmi. Ai armatizon një sërë dobësish, duke përfshirë CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-3573, CVE-2020-8515, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 dhe defekte të tjera të gjetura në kamerat IP AVTECH, DVR LILIN dhe pajisjet Shenzhen TVT. Duke shfrytëzuar këtë spektër të gjerë dobësish, AIRASHI vazhdon të rrisë shtrirjen dhe sofistikimin e saj.

Aftësitë e sulmit DDoS: Një vështrim më i afërt

Operatorët pas AIRASHI nuk janë të trembur për aktivitetet e tyre, duke postuar rezultatet e testimit të aftësive DDoS të botnet-it të tyre në Telegram. Të dhënat historike tregojnë se kapaciteti i tij i sulmit stabilizohet rreth 1-3 Tbps. Gjeografikisht, pajisjet më të komprometuara ndodhen në Brazil, Rusi, Vietnam dhe Indonezi. Megjithatë, objektivat janë të përqendruar në rajone si Kina, Shtetet e Bashkuara, Polonia dhe Rusia, ku operacionet e dëmshme të botnet-it kanë shkaktuar më shumë ndërprerje.

Evolucioni i AISURU në AIRASHI

AIRASHI rrjedh nga botnet AISURU, i cili u identifikua më parë në gusht 2024 gjatë një sulmi të profilit të lartë DDoS në Steam, i cili përkoi me lëshimin e lojës Black Myth: Wukong. Pas ndalimit të përkohshëm të funksionimit të tij në shtator 2024, botnet-i u rishfaq me veçori të përditësuara të koduara "kitty" dhe u rinovua më tej si AIRASHI deri në nëntor.

Një botnet me qëllime të dyfishta: AIRASHI-DDoS dhe AIRASHI-Proxy

AIRASHI operon në dy forma të dallueshme:

• AIRASHI-DDoS : I zbuluar në fund të tetorit 2024, ky variant fokusohet në sulmet DDoS, por zgjeron aftësitë e tij për të përfshirë ekzekutimin arbitrar të komandave dhe aksesin e kundërt të guaskës.
• AIRASHI-Proxy : I zbuluar në dhjetor 2024, ky variant shton funksionalitetin e përfaqësuesit, duke sinjalizuar një diversifikim të shërbimeve përtej operacioneve DDoS.

Përparimi i komunikimit dhe enkriptimit

Për të siguruar operacione të sigurta dhe efikase, AIRASHI përdor një protokoll të ri rrjeti duke shfrytëzuar algoritmet e enkriptimit HMAC-SHA256 dhe CHACHA20. Ndërsa AIRASHI-DDoS mbështet 13 lloje të ndryshme mesazhesh, AIRASHI-Proxy përdor një qasje më të efektshme me pesë. Për më tepër, botnet-i rregullon në mënyrë dinamike metodat e tij për të tërhequr detajet e serverit Command-and-Control (C2) nëpërmjet pyetjeve DNS.

Botnets dhe pajisjet IoT: Një kërcënim i vazhdueshëm kibernetik

Gjetjet nxjerrin në pah shfrytëzimin e vazhdueshëm nga kriminelët kibernetikë të dobësive të pajisjeve IoT. Pajisjet IoT shërbejnë si një pikë hyrjeje për aktorët e këqij dhe si bazë për ndërtimin e botnet-eve të fuqishme. Duke përdorur këto pajisje të komprometuara, aktorët e kërcënimit përforcojnë fuqinë e sulmeve DDoS, duke treguar nevojën kritike për sigurinë e përmirësuar të pajisjes në ekosistemin IoT.