AVrecon Botnet Kötü Amaçlı Yazılımı

Mayıs 2021'den itibaren, Linux tabanlı sistemlerde çalışan 70.000'den fazla küçük ofis/ev ofisi (SOHO) yönlendiricisine sızmak için AVrecon olarak bilinen oldukça gizli bir Linux kötü amaçlı yazılımı kullanıldı. Bu güvenliği ihlal edilmiş yönlendiriciler daha sonra bir botnet'e dahil edilerek ikili bir amaca hizmet eder: bant genişliğini çalmak ve gizli bir konut proxy hizmeti oluşturmak. Infosec uzmanlarına göre, AVrecon tarafından ele geçirilen 70.000 cihazdan yaklaşık 40.000'i bir botnet'e dahil edildi.

Bu botnet'i kullanarak, AVrecon operatörleri bir dizi zararlı girişimi etkili bir şekilde gizleyebilir. Bu faaliyetler, sahte dijital reklam planlarından parola püskürtme saldırılarına kadar uzanan geniş bir yelpazeyi kapsar. Gizli bir konut proxy hizmetinin mevcudiyeti, onlara operasyonlarını anonimleştirme ve hain faaliyetlerini tespit edilmeden yürütmek için güvenliği ihlal edilmiş ağ altyapısından yararlanma aracı sağlar.

AVrecon Kötü Amaçlı Yazılımı, İhlal Edilen Cihazlarda Sessizce Çalışır

Mayıs 2021'deki ilk tespitinden bu yana AVrecon, tespit edilmekten kaçınmak için dikkate değer bir yetenek gösterdi. Başlangıçta Netgear yönlendiricilerini hedef aldı ve iki yılı aşkın bir süre boyunca fark edilmeden kalmayı başardı ve yeni robotları tuzağa düşürerek erişimini istikrarlı bir şekilde genişletti. Bu amansız büyüme, onu son zamanlarda küçük ofis/ev ofisi (SOHO) yönlendiricilerini hedef alan en büyük bot ağlarından biri haline getirdi.

Bu kötü amaçlı yazılımın arkasındaki tehdit aktörleri, stratejik olarak, kullanıcıların bilinen güvenlik açıklarına ve risklere (CVE'ler) karşı yama uygulama olasılığının düşük olduğu SOHO cihazlarından yararlanmaya odaklanmış görünüyor. Daha temkinli bir yaklaşım benimseyen operatörler, iki yılı aşkın bir süre boyunca tespit edilmekten kaçınarak uzun bir süre boyunca gizlice çalışabildiler. Kötü amaçlı yazılımın gizli doğası, virüslü cihaz sahiplerinin nadiren fark edilir hizmet kesintileri veya bant genişliği kaybı yaşaması anlamına geliyordu ve bu da botnet'in tespit edilmeden devam etmesine olanak sağlıyordu.

Bir yönlendiriciye virüs bulaştığında, kötü amaçlı yazılım, güvenliği ihlal edilmiş cihazın bilgilerini yerleşik bir Komuta ve Kontrol (C2) sunucusuna iletmeye devam eder. Ardından, saldırıya uğrayan makine, ikinci aşama C2 sunucuları olarak bilinen ayrı bir sunucu grubuyla iletişim kurmak için talimatlar alır. Güvenlik araştırmacıları, araştırmaları sırasında toplam 15 adet ikinci aşama kontrol sunucusu belirledi. Bu sunucular, x.509 sertifika bilgileri ile belirlendiği üzere en az Ekim 2021'den beri çalışır durumdadır.

Bu ikinci aşama C2 sunucularının varlığı, kötü amaçlı yazılımın arkasındaki tehdit aktörleri tarafından kullanılan gelişmiş altyapıyı ve organizasyonu vurgular. Ayrıca, siber güvenlik uzmanlarının bu kalıcı ve yakalanması zor botnet ile mücadele etme ve etkisini azaltma konusunda karşılaştığı zorlukların altını çiziyor.

Ele Geçirilmiş SOHO Cihazları Ciddi Sonuçlara Yol Açabilir

Yakın zamanda Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yayınlanan bağlayıcı bir operasyonel yönergede (BOD), ABD federal kurumları, SOHO yönlendiricileri de dahil olmak üzere İnternet'e açık ağ ekipmanlarını güvence altına almak için derhal harekete geçmekle görevlendirildi. Bu direktif, federal kurumların potansiyel ihlal girişimlerini önlemek için bu cihazları keşiften sonraki 14 gün içinde güçlendirmesini şart koşuyor.

Bu aciliyetin arkasındaki sebep, bu tür cihazların başarılı bir şekilde ele geçirilmesinin, tehdit aktörlerine ele geçirilen yönlendiricileri saldırı altyapılarına dahil etme yeteneği vermesidir. Bu da, CISA'nın uyarılarında vurguladığı gibi, hedeflenen varlıkların iç ağlarına yanal hareket için bir fırlatma rampası görevi görecek.

AVrecon'un tehdit aktörleri tarafından kullanılması ikili bir amaca hizmet eder: trafiği proxy'lemek ve parola püskürtme gibi alçakça faaliyetlerde bulunmak. Bu farklı işleyiş biçimi, onu, esasen doğrudan ağ hedeflemeye odaklanan önceki yönlendirici tabanlı kötü amaçlı yazılım keşiflerimizden ayırır.

Bu tehdidin ciddiyeti, SOHO yönlendiricilerinin tipik olarak geleneksel güvenlik çevresinin dışında çalışması gerçeğinden kaynaklanmaktadır. Sonuç olarak, savunucuların güvenli olmayan faaliyetleri tespit etme yeteneği önemli ölçüde azalır. Bu durum, potansiyel ihlal riskini azaltmak ve genel ağ güvenliğini artırmak için bu cihazların derhal güvenliğini sağlamanın kritik önemini vurgulamaktadır.