АВрецон ботнет малвер

Од маја 2021. па надаље, веома прикривени Линук малвер познат као АВрецон је коришћен да се инфилтрира у више од 70.000 рутера за мале канцеларије/кућне канцеларије (СОХО) који раде на системима заснованим на Линуку. Ови компромитовани рутери се затим уграђују у ботнет, служећи двострукој сврси: крађа пропусног опсега и успостављање скривене резиденцијалне проки услуге. Према експертима Инфосец-а, од 70 000 уређаја које је АВрецон компромитовао, око 40 000 је уграђено у ботнет.

Користећи овај ботнет, оператери АВрецон-а могу ефикасно сакрити низ штетних подухвата. Ове активности обухватају широк спектар, у распону од лажних шема дигиталног оглашавања до напада лозинком. Доступност скривене резиденцијалне прокси услуге пружа им средства да анонимизирају своје операције и искористе угрожену мрежну инфраструктуру како би неоткривено обављали своје злобне активности.

АВрецон малвер ради тихо на оштећеним уређајима

Од свог почетног откривања у мају 2021., АВрецон је показао изузетну способност да избегне откривање. Првобитно је циљао на Нетгеар рутере и успео је да остане неоткривен више од две године, стално проширујући свој домет хватајући нове ботове. Овај немилосрдни раст довео га је до тога да постане један од највећих ботнета који циљају рутере за мале канцеларије/кућне канцеларије (СОХО) у последње време.

Чини се да су актери претњи који стоје иза овог малвера стратешки фокусирани на искоришћавање СОХО уређаја за које је мање вероватно да ће корисници закрпити познате рањивости и изложености (ЦВЕ). Усвајањем опрезнијег приступа, оператери су могли да раде прикривено током дужег периода, избегавајући откривање више од две године. Тајна природа малвера значила је да власници заражених уређаја ретко доживљавају приметне поремећаје у услузи или губитак пропусног опсега, што је даље омогућавало да ботнет остане неоткривен.

Када је рутер заражен, злонамерни софтвер наставља да преноси информације о компромитованом уређају на уграђени сервер за команду и контролу (Ц2). Након тога, хакована машина добија упутства за успостављање комуникације са засебним скупом сервера познатим као сервери другог степена Ц2. Током своје истраге, истраживачи безбедности су идентификовали укупно 15 контролних сервера друге фазе. Ови сервери су оперативни најмање од октобра 2021. године, како је утврђено информацијама о сертификату к.509.

Присуство ових сервера Ц2 друге фазе наглашава софистицирану инфраструктуру и организацију коју користе актери претњи иза малвера. Даље наглашава изазове са којима се суочавају стручњаци за сајбер безбедност у борби и ублажавању утицаја овог упорног и неухватљивог ботнета.

Компромитовани СОХО уређаји могу довести до озбиљних последица

У обавезујућој оперативној директиви (БОД) коју је недавно издала Агенција за сајбер безбедност и инфраструктурну безбедност (ЦИСА), америчке савезне агенције добиле су мандат да одмах предузму мере за обезбеђивање мрежне опреме изложене Интернету, укључујући СОХО рутере. Ова директива захтева од савезних агенција да ојачају ове уређаје у року од 14 дана од откривања како би спречили потенцијалне покушаје кршења.

Разлог за ову хитност је тај што би успешан компромис таквих уређаја омогућио актерима претњи могућност да уграде компромитоване рутере у своју инфраструктуру напада. Ово би, заузврат, послужило као лансирна платформа за бочно кретање у интерне мреже циљаних ентитета, као што је ЦИСА нагласила у свом упозорењу.

Коришћење АВрецон-а од стране актера претњи служи двострукој сврси: прокси саобраћај и ангажовање у подлим активностима као што је прскање лозинки. Овај посебан начин рада га издваја од наших претходних открића злонамерног софтвера заснованог на рутерима, који се првенствено фокусирао на директно циљање мреже.

Озбиљност ове претње произилази из чињенице да СОХО рутери обично раде изван конвенционалног безбедносног периметра. Сходно томе, способност бранилаца да открију небезбедне активности је значајно смањена. Ова ситуација наглашава критичну важност благовременог обезбеђења ових уређаја како би се ублажио ризик од потенцијалних кршења и побољшала укупна безбедност мреже.