Шкідливе програмне забезпечення AryStinger
Нещодавно виявлене сімейство шкідливих програм під назвою AryStinger перетворює покинуті домашні маршрутизатори на масштабну розвідувальну та проксі-мережу, а не на традиційні розподілені ботнети типу «відмова в обслуговуванні» (DDoS), які зазвичай асоціюються зі скомпрометованими мережевими пристроями. Дослідники безпеки вже виявили щонайменше 4300 заражених маршрутизаторів, і очікується, що ця кількість продовжуватиме зростати.
На відміну від звичайних кампаній шкідливого програмного забезпечення, що зосереджені на порушенні роботи сервісів, AryStinger розроблений для підтримки ранніх стадій кібератаок. Скомпрометовані пристрої використовуються для сканування Інтернету, ідентифікації запущених сервісів, перерахування піддоменів, тунелювання мережевого трафіку та віддаленого виконання команд перед передачею зібраної інформації операторам. Кожен заражений маршрутизатор фактично служить як розвідувальним вузлом, так і анонімізуючим реле, яке приховує справжнє походження зловмисника.
Зміст
Усунення застарілого обладнання та давно забутих вразливостей
Кампанія в першу чергу спрямована на маршрутизатори на базі чіпсетів Realtek RTL819X, обладнання, яке широко використовувалося між 2012 і 2015 роками. Дослідники вперше виявили шкідливе програмне забезпечення 12 березня 2026 року, коли зараження виникли з однієї IP-адреси.
Розгорнуте шкідливе програмне забезпечення було двійковим файлом ELF для Linux, який спочатку уникав виявлення жодним пошуковим механізмом VirusTotal. Зараження було здійснено шляхом використання двох старих вразливостей:
- CVE-2013-3307 впливає на деякі маршрутизатори Linksys.
- CVE-2016-5681 впливає на певні пристрої D-Link.
Більшість скомпрометованих систем – це продукти D-Link, причому на модель DIR-850L припадає приблизно 75 відсотків заражень. Географічно зараження зосереджені в Південній Кореї (48 відсотків) та Китаї (32 відсотки), далі йдуть Швеція, Малайзія та Сінгапур.
Розширення за межі маршрутизаторів
Другий варіант шкідливого програмного забезпечення з'явився 26 квітня 2026 року, атакуючи пристрої QNAP NAS через вразливість CVE-2025-11837, що вражає утиліту видалення шкідливого програмного забезпечення QNAP, через яку використовується вразливість для впровадження коду CVE-2025-11837. Хоча вразливість вже була виправлена в листопаді 2025 року, зловмисники почали використовувати її через кілька місяців.
За іронією долі, вектором зараження є власна програма для видалення шкідливого програмного забезпечення пристрою NAS. Заявлена цифра в 4300 скомпрометованих систем включає лише заражені маршрутизатори RTL819X і не враховує уражені пристрої NAS.
Легке шкідливе програмне забезпечення з потужними можливостями
Версія AryStinger для маршрутизатора написана на C і навмисно залишається легкою через обмежені ресурси старішого обладнання. Її основними функціями є масове сканування DNS та тунелювання трафіку.
Версія для NAS, розроблена на Go, надає значно ширші можливості. Вона може сканувати як внутрішні, так і зовнішні мережі та розгортати розвідувальні утиліти, такі як fscan, ksubdomain та httpx. Функція, відома як ScriptWork, дозволяє операторам виконувати наданий зловмисником вихідний код Go, Java або Python безпосередньо на зараженій системі, що усуває необхідність компілювати окремі бінарні файли для кожної цілі.
Зв'язок між зараженими пристроями та серверами командування та управління (C2) відбувається через HTTP та HTTPS з використанням трафіку, закодованого у Protobuf, обфускованого простою схемою XOR, тоді як варіант на основі Go додає стиснення gzip. Великі завдання сканування поділяються на менші сегменти та розподіляються по всій ботнеті, що дозволяє паралельно проводити розвідувальні операції.
Наполегливість та потенціал для зловживань
Шкідливе програмне забезпечення підтримує довгостроковий доступ, розгортаючи SSH-сервер Dropbear на порту 2332 для маршрутизаторів та gs-netcat на скомпрометованих NAS-системах. Слідчі також виявили жорстко закодований ключ автентифікації «sh_#@!_2024_secret», включення якого «2024» може свідчити про те, що розробка операції розпочалася того року, хоча це не можна підтвердити з упевненістю.
Хоча розвідка, здається, є основною метою, можливості сканування DNS шкідливого програмного забезпечення також можуть бути перенаправлені на DNS-резолвери для генерації трафіку відмови в обслуговуванні, коли це необхідно.
Знайомий шаблон: мережі операційних релейних блоків
Інфраструктура, створена AryStinger, дуже нагадує мережі Operational Relay Box (ORB). Ці мережі складаються зі скомпрометованих маршрутизаторів з завершеним терміном служби та пристроїв Інтернету речей, які дозволяють зловмисникам проводити операції сканування та передавати шкідливий трафік, залишаючись при цьому складними для відстеження.
Такий підхід нагадує попередні інциденти. У травні 2025 року ФБР та Міністерство юстиції США ліквідували сервіси 5socks та Anyproxy, які монетизували доступ до проксі-серверів для житлових пристроїв, використовуючи застарілі маршрутизатори Linksys та Cisco, заражені шкідливим програмним забезпеченням TheMoon. Зовсім недавно операції ORB, такі як LapDogs, аналогічним чином покладалися на невиправлені вразливості у старіючих пристроях.
Наразі AryStinger не було остаточно пов'язано з жодним конкретним зловмисником. Однак операційна модель безпомилкова: застаріле обладнання та забуті вразливості перетворюються на приховану інфраструктуру, яка підтримує початкові етапи складних кібератаок.
Стратегії виявлення та пом’якшення наслідків
Організації та особи, які експлуатують потенційно уражене обладнання, повинні негайно провести дослідження на наявність ознак компрометації та вжити довгострокових заходів щодо відновлення.
Найефективніший захист залишається простим: вивести з експлуатації мережеве обладнання, яке більше не отримує оновлення прошивки, та по можливості вимикати віддалене адміністрування на пристроях, що піддаються доступу до Інтернету. Обладнання, яке перестало отримувати виправлення безпеки роки тому, навряд чи отримає захист від сучасних загроз.