АИРАСХИ Ботнет
Рањивост нултог дана у цнПилот рутерима компаније Цамбиум Нетворкс постала је најновија алатка за сајбер криминалце који користе АИСУРУ ботнет варијанту познату као АИРАСХИ. Ова кампања, активна од јуна 2024., искориштава недостатак за оркестрирање моћних напада дистрибуираног ускраћивања услуге (ДДоС). Истраживачи безбедности су затајили детаље о рањивости како би ограничили њену злоупотребу док су истраге у току.
Преглед садржаја
Историја искоришћених рањивости
АИРАСХИ ботнет није ограничен на један вектор напада. Наоружава серију рањивости, укључујући ЦВЕ-2013-3307, ЦВЕ-2016-20016, ЦВЕ-2017-5259, ЦВЕ-2018-14558, ЦВЕ-2020-25499, ЦВЕ-2020-85275, ЦВЕ-2020-85272, ЦВЕ-2022-40005, ЦВЕ-2022-44149, ЦВЕ-2023-287 и други недостаци пронађени у АВТЕЦХ ИП камерама, ЛИЛИН ДВР-има и Схензхен ТВТ уређајима. Искоришћавањем овог широког спектра слабости, АИРАСХИ наставља да расте домет и софистицираност.
Могућности ДДоС напада: ближи поглед
Оператери који стоје иза АИРАСХИ-ја не стиде се својих активности, објављујући резултате тестирања ДДоС могућности свог ботнета на Телеграму. Историјски подаци откривају да се његов капацитет напада стабилизује око 1-3 Тбпс. Географски, већина компромитованих уређаја налази се у Бразилу, Русији, Вијетнаму и Индонезији. Међутим, мете су концентрисане у регионима попут Кине, Сједињених Држава, Пољске и Русије, где су штетне операције ботнета изазвале највише поремећаја.
Еволуција АИСУРУ-а до АИРАСХИ-ја
АИРАСХИ потиче од АИСУРУ ботнета, који је претходно идентификован у августу 2024. током ДДоС напада високог профила на Стеам, који се поклопио са објављивањем игре Блацк Митх: Вуконг. Након привременог заустављања рада у септембру 2024. године, ботнет се поново појавио са ажурираним функцијама под кодним именом „мачкица“ и даље је преуређен као АИРАСХИ до новембра.
Ботнет двоструке намене: АИРАСХИ-ДДоС и АИРАСХИ-Проки
АИРАСХИ послује у два различита облика:
- АИРАСХИ-ДДоС : Откривена крајем октобра 2024. године, ова варијанта се фокусира на ДДоС нападе, али проширује своје могућности тако да укључује произвољно извршење команди и приступ обрнутој љусци.
- АИРАСХИ-Проки : Представљена у децембру 2024. године, ова варијација додаје функционалност проксија, сигнализирајући диверсификацију услуга изван ДДоС операција.
Унапређење комуникације и шифровања
Да би обезбедио безбедне и ефикасне операције, АИРАСХИ користи нови мрежни протокол који користи ХМАЦ-СХА256 и ЦХАЦХА20 алгоритме за шифровање. Док АИРАСХИ-ДДоС подржава 13 различитих типова порука, АИРАСХИ-Проки користи модернији приступ са пет. Поред тога, ботнет динамички прилагођава своје методе за преузимање детаља о серверу за команду и контролу (Ц2) путем ДНС упита.
Ботнети и ИоТ уређаји: стална сајбер претња
Налази истичу упорну експлоатацију рањивости ИоТ уређаја од стране сајбер-криминалаца. ИоТ уређаји служе и као улазна тачка за лоше актере и основа за изградњу робусних ботнета. Користећи ове компромитоване уређаје, актери претњи појачавају моћ ДДоС напада, показујући критичну потребу за побољшаном безбедношћу уређаја у ИоТ екосистему.
