Mạng bot AIRASHI
Một lỗ hổng zero-day trong bộ định tuyến cnPilot của Cambium Networks đã trở thành công cụ mới nhất cho tội phạm mạng triển khai biến thể botnet AISURU được gọi là AIRASHI. Chiến dịch này, hoạt động từ tháng 6 năm 2024, khai thác lỗ hổng để dàn dựng các cuộc tấn công Từ chối dịch vụ phân tán (DDoS) mạnh mẽ. Các nhà nghiên cứu bảo mật đã giữ kín thông tin chi tiết về lỗ hổng để hạn chế việc sử dụng sai mục đích trong khi cuộc điều tra đang diễn ra.
Mục lục
Lịch sử các lỗ hổng bị khai thác
Botnet AIRASHI không chỉ giới hạn ở một vectơ tấn công duy nhất. Nó vũ khí hóa một loạt các lỗ hổng, bao gồm CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 và các lỗ hổng khác được tìm thấy trong camera IP AVTECH, DVR LILIN và thiết bị TVT Thâm Quyến. Bằng cách khai thác phổ rộng các điểm yếu này, AIRASHI tiếp tục mở rộng phạm vi và sự tinh vi của mình.
Khả năng tấn công DDoS: Nhìn kỹ hơn
Những kẻ điều hành đằng sau AIRASHI không hề ngại ngùng về các hoạt động của mình, chúng đăng tải kết quả thử nghiệm về khả năng DDoS của botnet trên Telegram. Dữ liệu lịch sử cho thấy khả năng tấn công của chúng ổn định ở mức khoảng 1-3 Tbps. Về mặt địa lý, hầu hết các thiết bị bị xâm phạm đều nằm ở Brazil, Nga, Việt Nam và Indonesia. Tuy nhiên, các mục tiêu tập trung ở các khu vực như Trung Quốc, Hoa Kỳ, Ba Lan và Nga, nơi các hoạt động gây hại của botnet đã gây ra nhiều gián đoạn nhất.
Sự phát triển của AISURU thành AIRASHI
AIRASHI bắt nguồn từ botnet AISURU, trước đó đã được xác định vào tháng 8 năm 2024 trong một cuộc tấn công DDoS cấp cao vào Steam, trùng với thời điểm phát hành trò chơi Black Myth: Wukong. Sau khi tạm dừng hoạt động vào tháng 9 năm 2024, botnet đã xuất hiện trở lại với các tính năng được cập nhật có tên mã là "kitty" và được cải tiến thêm thành AIRASHI vào tháng 11.
Một Botnet có mục đích kép: AIRASHI-DDoS và AIRASHI-Proxy
AIRASHI hoạt động theo hai hình thức riêng biệt:
- AIRASHI-DDoS : Được phát hiện vào cuối tháng 10 năm 2024, biến thể này tập trung vào các cuộc tấn công DDoS nhưng mở rộng khả năng của nó để bao gồm thực thi lệnh tùy ý và truy cập shell ngược.
- AIRASHI-Proxy : Ra mắt vào tháng 12 năm 2024, phiên bản này bổ sung chức năng proxy, báo hiệu sự đa dạng hóa các dịch vụ ngoài hoạt động DDoS.
Tiến bộ truyền thông và mã hóa
Để đảm bảo hoạt động an toàn và hiệu quả, AIRASHI sử dụng giao thức mạng mới tận dụng các thuật toán mã hóa HMAC-SHA256 và CHACHA20. Trong khi AIRASHI-DDoS hỗ trợ 13 loại tin nhắn riêng biệt, AIRASHI-Proxy sử dụng phương pháp hợp lý hơn với năm loại. Ngoài ra, botnet điều chỉnh động các phương pháp của nó để truy xuất thông tin chi tiết về máy chủ Command-and-Control (C2) thông qua các truy vấn DNS.
Botnet và thiết bị IoT: Mối đe dọa mạng dai dẳng
Những phát hiện này làm nổi bật việc tội phạm mạng liên tục khai thác các lỗ hổng của thiết bị IoT. Các thiết bị IoT vừa là điểm vào cho những kẻ xấu vừa là nền tảng để xây dựng các mạng botnet mạnh mẽ. Bằng cách tận dụng các thiết bị bị xâm phạm này, những kẻ đe dọa khuếch đại sức mạnh của các cuộc tấn công DDoS, cho thấy nhu cầu cấp thiết về việc tăng cường bảo mật thiết bị trong hệ sinh thái IoT.
