AVrecon Botnet மால்வேர்

மே 2021 முதல், லினக்ஸ் அடிப்படையிலான கணினிகளில் இயங்கும் 70,000 க்கும் மேற்பட்ட சிறிய அலுவலகம்/ஹோம் ஆபிஸ் (SOHO) ரவுட்டர்களில் ஊடுருவுவதற்கு AVrecon எனப்படும் மிகவும் ரகசியமான Linux மால்வேர் பயன்படுத்தப்பட்டது. இந்த சமரசம் செய்யப்பட்ட ரவுட்டர்கள் பின்னர் ஒரு பாட்நெட்டில் இணைக்கப்பட்டு, இரட்டை நோக்கத்திற்காக சேவை செய்கின்றன: அலைவரிசையை திருடுதல் மற்றும் மறைக்கப்பட்ட குடியிருப்பு ப்ராக்ஸி சேவையை நிறுவுதல். இன்ஃபோசெக் நிபுணர்களின் கூற்றுப்படி, AVrecon ஆல் சமரசம் செய்யப்பட்ட 70 000 சாதனங்களில், சுமார் 40 000 போட்நெட்டில் இணைக்கப்பட்டது.

இந்த பாட்நெட்டைப் பயன்படுத்துவதன் மூலம், AVrecon இன் ஆபரேட்டர்கள் தீங்கு விளைவிக்கும் செயல்களின் வரிசையை திறம்பட மறைக்க முடியும். மோசடியான டிஜிட்டல் விளம்பரத் திட்டங்கள் முதல் கடவுச்சொல்-தெளிதல் தாக்குதல்கள் வரையிலான பரந்த அளவிலான செயல்பாடுகளை உள்ளடக்கியது. ஒரு மறைக்கப்பட்ட குடியிருப்பு ப்ராக்ஸி சேவையின் இருப்பு, அவர்களின் செயல்பாடுகளை அநாமதேயமாக்குவதற்கும், சமரசம் செய்யப்பட்ட நெட்வொர்க் உள்கட்டமைப்பைப் பயன்படுத்தி, அவர்களின் மோசமான செயல்களைக் கண்டறியாமல் செய்வதற்கும் வழிவகை செய்கிறது.

மீறப்பட்ட சாதனங்களில் AVrecon மால்வேர் அமைதியாக செயல்படுகிறது

மே 2021 இல் அதன் ஆரம்ப கண்டறிதலில் இருந்து, AVrecon கண்டறிதலைத் தவிர்க்கும் ஒரு குறிப்பிடத்தக்க திறனை வெளிப்படுத்தியுள்ளது. இது ஆரம்பத்தில் நெட்ஜியர் ரவுட்டர்களை குறிவைத்து இரண்டு ஆண்டுகளுக்கும் மேலாக கண்டறியப்படாமல் இருந்தது, புதிய போட்களை சிக்க வைப்பதன் மூலம் அதன் வரம்பை படிப்படியாக விரிவுபடுத்தியது. இந்த இடைவிடாத வளர்ச்சியானது சமீப காலங்களில் சிறிய அலுவலகம்/ஹோம் ஆபிஸ் (SOHO) ரவுட்டர்களை இலக்காகக் கொண்ட மிகப்பெரிய போட்நெட்களில் ஒன்றாக மாறத் தூண்டியது.

இந்த தீம்பொருளுக்குப் பின்னால் உள்ள அச்சுறுத்தல் நடிகர்கள், அறியப்பட்ட பாதிப்புகள் மற்றும் வெளிப்பாடுகளுக்கு (CVEs) எதிராகப் பயனர்கள் குறைவாக இருக்கும் SOHO சாதனங்களைப் பயன்படுத்துவதில் மூலோபாய கவனம் செலுத்தியதாகத் தெரிகிறது. மிகவும் எச்சரிக்கையான அணுகுமுறையைக் கடைப்பிடிப்பதன் மூலம், ஆபரேட்டர்கள் நீண்ட காலத்திற்கு திருட்டுத்தனமாக செயல்பட முடிந்தது, இரண்டு ஆண்டுகளுக்கும் மேலாக கண்டறிதலைத் தவிர்க்கிறது. தீம்பொருளின் இரகசியத் தன்மையானது, பாதிக்கப்பட்ட சாதனங்களின் உரிமையாளர்கள் குறிப்பிடத்தக்க சேவை இடையூறுகள் அல்லது அலைவரிசை இழப்பை அரிதாகவே அனுபவிக்கின்றனர், மேலும் பாட்நெட் கண்டறியப்படாமல் தொடர்ந்து இருக்க உதவுகிறது.

ஒரு திசைவி பாதிக்கப்பட்டவுடன், தீம்பொருள் சமரசம் செய்யப்பட்ட சாதனத்தின் தகவலை உட்பொதிக்கப்பட்ட கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்திற்கு அனுப்பும். பின்னர், ஹேக் செய்யப்பட்ட இயந்திரம் இரண்டாம் நிலை C2 சேவையகங்கள் எனப்படும் தனியான சேவையகங்களுடன் தொடர்பை ஏற்படுத்துவதற்கான வழிமுறைகளைப் பெறுகிறது. அவர்களின் விசாரணையின் போது, பாதுகாப்பு ஆராய்ச்சியாளர்கள் மொத்தம் 15 இரண்டாம் கட்ட கட்டுப்பாட்டு சேவையகங்களை அடையாளம் கண்டுள்ளனர். x.509 சான்றிதழ் தகவலின்படி, இந்த சர்வர்கள் குறைந்தது அக்டோபர் 2021 முதல் செயல்படுகின்றன.

இந்த இரண்டாம்-நிலை C2 சேவையகங்களின் இருப்பு, தீம்பொருளுக்குப் பின்னால் உள்ள அச்சுறுத்தல் நடிகர்களால் பயன்படுத்தப்படும் அதிநவீன உள்கட்டமைப்பு மற்றும் அமைப்பை எடுத்துக்காட்டுகிறது. இந்த நிலையான மற்றும் மழுப்பலான போட்நெட்டின் தாக்கத்தை எதிர்த்துப் போராடுவதிலும் தணிப்பதிலும் இணைய பாதுகாப்பு நிபுணர்கள் எதிர்கொள்ளும் சவால்களை இது மேலும் அடிக்கோடிட்டுக் காட்டுகிறது.

சமரசம் செய்யப்பட்ட SOHO சாதனங்கள் கடுமையான விளைவுகளுக்கு வழிவகுக்கும்

சைபர் செக்யூரிட்டி மற்றும் இன்ஃப்ராஸ்ட்ரக்சர் செக்யூரிட்டி ஏஜென்சி (சிஐஎஸ்ஏ) சமீபத்தில் வழங்கிய பிணைப்பு செயல்பாட்டு உத்தரவு (பிஓடி) இல், சோஹோ ரூட்டர்கள் உட்பட இணையத்தில் வெளிப்படும் நெட்வொர்க்கிங் கருவிகளைப் பாதுகாக்க உடனடி நடவடிக்கை எடுக்க அமெரிக்க மத்திய அரசு ஆணையிடப்பட்டுள்ளது. சாத்தியமான மீறல் முயற்சிகளைத் தடுக்க, கண்டுபிடிக்கப்பட்ட 14 நாட்களுக்குள் இந்தச் சாதனங்களை வலுப்படுத்த ஃபெடரல் ஏஜென்சிகளுக்கு இந்த உத்தரவு தேவைப்படுகிறது.

இந்த அவசரத்திற்குப் பின்னால் உள்ள காரணம், அத்தகைய சாதனங்களின் வெற்றிகரமான சமரசம் அச்சுறுத்தல் நடிகர்களுக்கு சமரசம் செய்யப்பட்ட திசைவிகளை தங்கள் தாக்குதல் உள்கட்டமைப்பில் இணைக்கும் திறனை வழங்கும். இதையொட்டி, CISA அவர்களின் எச்சரிக்கையில் வலியுறுத்தியபடி, இலக்கு நிறுவனங்களின் உள் நெட்வொர்க்குகளுக்கு பக்கவாட்டு இயக்கத்திற்கான துவக்கப் பாதையாக இது செயல்படும்.

அச்சுறுத்தல் நடிகர்களால் AVrecon ஐப் பயன்படுத்துவது இரட்டை நோக்கத்திற்கு உதவுகிறது: போக்குவரத்தை ப்ராக்ஸி செய்தல் மற்றும் கடவுச்சொல் தெளித்தல் போன்ற மோசமான செயல்களில் ஈடுபடுதல். இந்த தனித்துவமான செயல்பாடானது திசைவி அடிப்படையிலான தீம்பொருளின் எங்கள் முந்தைய கண்டுபிடிப்புகளில் இருந்து வேறுபடுத்துகிறது, இது முதன்மையாக நேரடி நெட்வொர்க் இலக்கில் கவனம் செலுத்துகிறது.

SOHO திசைவிகள் பொதுவாக வழக்கமான பாதுகாப்பு சுற்றளவுக்கு வெளியே செயல்படுவதால் இந்த அச்சுறுத்தலின் ஈர்ப்பு எழுகிறது. இதன் விளைவாக, பாதுகாப்பற்ற செயல்களைக் கண்டறியும் பாதுகாவலர்களின் திறன் கணிசமாகக் குறைக்கப்படுகிறது. சாத்தியமான மீறல்களின் அபாயத்தைத் தணிக்கவும் ஒட்டுமொத்த நெட்வொர்க் பாதுகாப்பை மேம்படுத்தவும் இந்தச் சாதனங்களை உடனடியாகப் பாதுகாப்பதன் முக்கியமான முக்கியத்துவத்தை இந்தச் சூழ்நிலை எடுத்துக்காட்டுகிறது.