Шкідлива програма ботнету AVrecon

Починаючи з травня 2021 року, для проникнення в понад 70 000 маршрутизаторів для малих/домашніх офісів (SOHO), які працюють на системах на базі Linux, використовувалося дуже приховане шкідливе програмне забезпечення Linux, відоме як AVrecon. Ці скомпрометовані маршрутизатори потім об’єднуються в ботнет, що виконує подвійну мету: крадіжку пропускної здатності та створення прихованої проксі-сервісу для проживання. За даними експертів Infosec, із 70 000 пристроїв, зламаних AVrecon, близько 40 000 були включені в ботнет.

Використовуючи цей ботнет, оператори AVrecon можуть ефективно приховувати низку шкідливих заходів. Ця діяльність охоплює широкий спектр, починаючи від шахрайських цифрових рекламних схем і закінчуючи атаками з використанням пароля. Наявність прихованої служби проксі-сервера надає їм можливість анонімізувати свої операції та використовувати скомпрометовану мережеву інфраструктуру для непоміченого здійснення своїх мерзенних дій.

Зловмисне програмне забезпечення AVrecon працює безшумно на зламаних пристроях

З моменту першого виявлення в травні 2021 року AVrecon продемонстрував надзвичайну здатність уникати виявлення. Спочатку він був націлений на маршрутизатори Netgear, і йому вдалося залишитися непоміченим понад два роки, постійно розширюючи охоплення за рахунок нових ботів. Це невпинне зростання дозволило йому стати однією з найбільших ботнетів, націлених на маршрутизатори для малих офісів/домашніх офісів (SOHO) за останній час.

Схоже, що загрози, що стоять за цим зловмисним програмним забезпеченням, стратегічно зосередилися на використанні пристроїв SOHO, які користувачі з меншою ймовірністю виправлятимуть проти відомих уразливостей і загроз (CVE). Прийнявши більш обережний підхід, оператори змогли діяти непомітно протягом тривалого періоду, уникаючи виявлення протягом понад двох років. Прихований характер зловмисного програмного забезпечення означав, що власники інфікованих пристроїв рідко відчували помітні перебої в роботі служби або втрату пропускної здатності, що ще більше дозволяло ботнету залишатися непоміченим.

Після зараження маршрутизатора зловмисне програмне забезпечення передає інформацію про скомпрометований пристрій на вбудований сервер командування та керування (C2). Згодом зламана машина отримує інструкції для встановлення зв’язку з окремим набором серверів, відомих як сервери C2 другого рівня. Під час свого розслідування дослідники безпеки ідентифікували загалом 15 серверів контролю другого рівня. Ці сервери працюють принаймні з жовтня 2021 року, як визначено інформацією сертифіката x.509.

Наявність цих серверів другого рівня C2 підкреслює складну інфраструктуру та організацію, яку використовують загрозливі особи, що стоять за шкідливим програмним забезпеченням. Це також підкреслює проблеми, з якими стикаються експерти з кібербезпеки в боротьбі та пом’якшенні впливу цього постійного та невловимого ботнету.

Зламані пристрої SOHO можуть призвести до серйозних наслідків

У обов’язковій оперативній директиві (BOD), нещодавно виданій Агентством кібербезпеки та безпеки інфраструктури (CISA), федеральні агентства США отримали повноваження вжити негайних заходів для захисту мережевого обладнання, доступного для доступу в Інтернет, включаючи маршрутизатори SOHO. Ця директива вимагає від федеральних агентств зміцнити ці пристрої протягом 14 днів після виявлення, щоб запобігти можливим спробам злому.

Причина такої терміновості полягає в тому, що успішна компрометація таких пристроїв надасть зловмисникам можливість інтегрувати зламані маршрутизатори в свою інфраструктуру атак. Це, у свою чергу, слугуватиме стартовим майданчиком для бокового переходу у внутрішні мережі цільових організацій, як наголошує CISA у своєму попередженні.

Використання AVrecon зловмисниками має подвійну мету: проксі-сервер трафіку та участь у нечесних діях, таких як розпилення паролів. Цей окремий спосіб дії відрізняє його від наших попередніх відкриттів зловмисного програмного забезпечення на основі маршрутизаторів, яке в основному було зосереджено на прямому націлюванні на мережу.

Серйозність цієї загрози виникає через те, що маршрутизатори SOHO зазвичай працюють за межами звичайного периметра безпеки. Як наслідок, здатність захисників виявляти небезпечну діяльність значно зменшується. Ця ситуація підкреслює критичну важливість негайного захисту цих пристроїв, щоб зменшити ризик потенційних порушень і підвищити загальну безпеку мережі.