Ботнет AIRASHI
Уразливість нульового дня в маршрутизаторах cnPilot від Cambium Networks стала найновішим інструментом для кіберзлочинців, які розгортають варіант ботнету AISURU, відомий як AIRASHI. Ця кампанія, активна з червня 2024 року, використовує недолік для організації потужних атак розподіленої відмови в обслуговуванні (DDoS). Дослідники безпеки приховали інформацію про вразливість, щоб обмежити її зловживання, поки тривають розслідування.
Зміст
Історія використання вразливостей
Ботнет AIRASHI не обмежується одним вектором атаки. Він містить низку вразливостей, зокрема CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 та інші недоліки, виявлені в IP-камерах AVTECH, відеореєстраторах LILIN і пристроях Shenzhen TVT. Використовуючи цей широкий спектр недоліків, AIRASHI продовжує розвивати свій охоплення та витонченість.
Можливості DDoS-атаки: ближчий погляд
Оператори, що стоять за AIRASHI, не соромляться своєї діяльності, публікуючи результати тестування DDoS-можливостей свого ботнету в Telegram. Історичні дані показують, що його потужність атаки стабілізується на рівні 1-3 Тбіт/с. Географічно найбільше скомпрометованих пристроїв розташовано в Бразилії, Росії, В’єтнамі та Індонезії. Однак цілі зосереджені в таких регіонах, як Китай, Сполучені Штати, Польща та Росія, де шкідливі операції ботнету спричинили найбільше збоїв.
Еволюція AISURU до AIRASHI
AIRASHI походить від ботнету AISURU, який раніше був ідентифікований у серпні 2024 року під час гучної DDoS-атаки на Steam, яка збіглася з релізом гри Black Myth: Wukong. Після тимчасової зупинки роботи у вересні 2024 року ботнет знову з’явився з оновленими функціями під кодовою назвою «kitty», а до листопада його було перетворено на AIRASHI.
Ботнет подвійного призначення: AIRASHI-DDoS і AIRASHI-Proxy
AIRASHI працює у двох різних формах:
- AIRASHI-DDoS : цей варіант, виявлений наприкінці жовтня 2024 року, спрямований на DDoS-атаки, але розширює свої можливості, включаючи довільне виконання команд і зворотний доступ до оболонки.
- AIRASHI-Proxy : представлений у грудні 2024 року, цей варіант додає функції проксі, сигналізуючи про диверсифікацію послуг, окрім операцій DDoS.
Розвиток зв’язку та шифрування
Для забезпечення безпечної та ефективної роботи AIRASHI використовує новий мережевий протокол із використанням алгоритмів шифрування HMAC-SHA256 і CHACHA20. Хоча AIRASHI-DDoS підтримує 13 різних типів повідомлень, AIRASHI-Proxy використовує більш спрощений підхід із п’ятьма. Крім того, ботнет динамічно налаштовує свої методи для отримання даних про сервер Command-and-Control (C2) через DNS-запити.
Ботнети та пристрої Інтернету речей: постійна кіберзагроза
Висновки підкреслюють постійне використання кіберзлочинцями вразливостей пристроїв IoT. Пристрої IoT служать як точкою входу для зловмисників, так і основою для створення надійних ботнетів. Використовуючи ці скомпрометовані пристрої, зловмисники підсилюють потужність DDoS-атак, демонструючи критичну потребу в підвищеній безпеці пристроїв в екосистемі IoT.
