Malware AVrecon Botnet

Nga maji 2021 e tutje, një malware shumë i fshehtë Linux i njohur si AVrecon është përdorur për të depërtuar në më shumë se 70,000 ruterë të vegjël zyra/zyre në shtëpi (SOHO) që operojnë në sisteme të bazuara në Linux. Këta ruterë të komprometuar më pas inkorporohen në një botnet, duke shërbyer për një qëllim të dyfishtë: grabitje të gjerësisë së brezit dhe krijimit të një shërbimi të fshehtë të proxy rezidencial. Sipas ekspertëve të infosec, nga 70 000 pajisje të komprometuara nga AVrecon, rreth 40 000 u inkorporuan në një botnet.

Duke përdorur këtë botnet, operatorët e AVrecon mund të fshehin në mënyrë efektive një sërë ndërmarrjesh të dëmshme. Këto aktivitete përfshijnë një spektër të gjerë, duke filluar nga skemat mashtruese të reklamave dixhitale deri te sulmet me spërkatje të fjalëkalimeve. Disponueshmëria e një shërbimi të fshehtë proxy rezidencial u siguron atyre një mjet për të anonimizuar operacionet e tyre dhe për të shfrytëzuar infrastrukturën e rrjetit të komprometuar për të kryer aktivitetet e tyre të mbrapshta pa u zbuluar.

Malware AVrecon funksionon në heshtje në pajisjet e dëmtuara

Që nga zbulimi i tij fillestar në maj 2021, AVrecon ka demonstruar një aftësi të jashtëzakonshme për të shmangur zbulimin. Fillimisht ai synoi ruterët Netgear dhe arriti të mbetet i pazbuluar për më shumë se dy vjet, duke e zgjeruar në mënyrë të qëndrueshme shtrirjen e tij duke futur në grackë robotë të rinj. Kjo rritje e pamëshirshme e ka shtyrë atë të bëhet një nga botnet-et më të mëdhenj që synon ruterat e zyrave të vogla/zyreve shtëpiake (SOHO) kohët e fundit.

Aktorët e kërcënimit pas këtij malware duket se janë fokusuar në mënyrë strategjike në shfrytëzimin e pajisjeve SOHO që përdoruesit kishin më pak gjasa t'i rregullonin kundër dobësive dhe ekspozimeve të njohura (CVE). Duke adoptuar një qasje më të kujdesshme, operatorët ishin në gjendje të operonin fshehurazi për një periudhë të zgjatur, duke iu shmangur zbulimit për më shumë se dy vjet. Natyra e fshehtë e malware nënkuptonte që pronarët e pajisjeve të infektuara rrallë përjetonin ndërprerje të dukshme të shërbimit ose humbje të gjerësisë së brezit, duke i mundësuar më tej botnet-it të vazhdonte pa u zbuluar.

Pasi një ruter infektohet, malware vazhdon të transmetojë informacionin e pajisjes së komprometuar në një server të integruar Command-and-Control (C2). Më pas, makina e hakuar merr udhëzime për të vendosur komunikim me një grup të veçantë serverësh të njohur si serverë C2 të fazës së dytë. Gjatë hetimit të tyre, studiuesit e sigurisë identifikuan gjithsej 15 serverë kontrolli të fazës së dytë. Këta serverë kanë funksionuar të paktën që nga tetori 2021, siç përcaktohet nga informacioni i certifikatës x.509.

Prania e këtyre serverëve C2 të fazës së dytë nxjerr në pah infrastrukturën dhe organizimin e sofistikuar të përdorur nga aktorët e kërcënimit pas malware. Ai nënvizon më tej sfidat me të cilat përballen ekspertët e sigurisë kibernetike në luftimin dhe zbutjen e ndikimit të këtij botneti të vazhdueshëm dhe të pakapshëm.

Pajisjet e komprometuara SOHO mund të çojnë në pasoja të rënda

Në një direktivë operacionale të detyrueshme (BOD) të lëshuar së fundmi nga Agjencia e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA), agjencitë federale të SHBA-së janë mandatuar të ndërmarrin veprime të menjëhershme për të siguruar pajisjet e rrjetit të ekspozuara në internet, duke përfshirë ruterat SOHO. Kjo direktivë kërkon që agjencitë federale t'i forcojnë këto pajisje brenda 14 ditëve nga zbulimi për të parandaluar përpjekjet e mundshme të shkeljes.

Arsyeja pas kësaj urgjence është se një kompromis i suksesshëm i pajisjeve të tilla do t'u jepte aktorëve të kërcënimit aftësinë për të përfshirë ruterat e komprometuar në infrastrukturën e tyre të sulmit. Kjo, nga ana tjetër, do të shërbente si një pikënisje për lëvizjen anësore në rrjetet e brendshme të subjekteve të synuara, siç theksohet nga CISA në paralajmërimin e tyre.

Përdorimi i AVrecon nga aktorët e kërcënimit i shërben një qëllimi të dyfishtë: përfaqësimi i trafikut dhe përfshirja në aktivitete të liga si spërkatja e fjalëkalimit. Ky modus operandi i dallueshëm e veçon atë nga zbulimet tona të mëparshme të malware-it të bazuar në ruter, i cili u fokusua kryesisht në shënjestrimin e drejtpërdrejtë të rrjetit.

Rëndësia e këtij kërcënimi lind nga fakti se ruterat SOHO zakonisht funksionojnë jashtë perimetrit konvencional të sigurisë. Rrjedhimisht, aftësia e mbrojtësve për të zbuluar aktivitete të pasigurta zvogëlohet ndjeshëm. Kjo situatë thekson rëndësinë kritike të sigurimit të menjëhershëm të këtyre pajisjeve për të zbutur rrezikun e shkeljeve të mundshme dhe për të rritur sigurinë e përgjithshme të rrjetit.