Modern technology gives us many things.

Το κακόβουλο λογισμικό AVrecon μολύνει 70.0000 δρομολογητές Linux για να δημιουργήσει botnet

Τουλάχιστον από τον Μάιο του 2021, το κρυφό κακόβουλο λογισμικό Linux που ονομάζεται AVrecon χρησιμοποιήθηκε για να μολύνει πάνω από 70.000 δρομολογητές μικρού γραφείου/οικιακού γραφείου (SOHO) που βασίζονται σε Linux σε ένα botnet σχεδιασμένο να κλέβει το εύρος ζώνης και να παρέχει μια κρυφή υπηρεσία οικιακού διακομιστή μεσολάβησης.

Αυτό επιτρέπει στους χειριστές του να αποκρύψουν ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων, από απάτη ψηφιακής διαφήμισης έως ψεκασμό κωδικού πρόσβασης.

Σύμφωνα με την ερευνητική ομάδα απειλών Black Lotus Labs της Lumen, ενώ το AVrecon απομακρυσμένης πρόσβασης trojan (RAT) παραβίασε περισσότερες από 70.000 συσκευές, μόνο 40.00 προστέθηκαν στο botnet αφού κέρδισαν επιμονή.

Το κακόβουλο λογισμικό κατάφερε σε μεγάλο βαθμό να αποφύγει τον εντοπισμό από τότε πρώτα έχων στίγματα τον Μάιο του 2021 όταν στόχευε τους δρομολογητές Netgear. Έκτοτε, δεν ανιχνεύτηκε για περισσότερα από δύο χρόνια, παγιδεύοντας σιγά σιγά νέα bot και εξελίσσοντας σε ένα από τα μεγαλύτερα botnet στόχευσης δρομολογητών SOHO που ανακαλύφθηκαν τα τελευταία χρόνια.

“Υποψιαζόμαστε ότι ο παράγοντας απειλής που επικεντρώνεται στον τύπο των συσκευών SOHO θα ήταν λιγότερο πιθανό να επιδιορθώσει τους χρήστες έναντι κοινών ευπαθειών και εκθέσεων (CVEs),” Black Lotus Labs είπε.

“Αντί να χρησιμοποιούν αυτό το botnet για γρήγορη πληρωμή, οι χειριστές διατήρησαν μια πιο συγκρατημένη προσέγγιση και μπόρεσαν να λειτουργούν απαρατήρητα για περισσότερα από δύο χρόνια. Λόγω της κρυφής φύσης του κακόβουλου λογισμικού, οι ιδιοκτήτες μολυσμένων μηχανημάτων σπάνια παρατηρούν οποιαδήποτε διακοπή ή απώλεια υπηρεσίας του εύρους ζώνης.”

Μόλις μολυνθεί, το κακόβουλο λογισμικό στέλνει τις πληροφορίες του παραβιασμένου δρομολογητή σε έναν ενσωματωμένο διακομιστή εντολών και ελέγχου (C2). Μετά τη δημιουργία επαφής, το μηχάνημα που έχει παραβιαστεί λαμβάνει οδηγίες να δημιουργήσει επικοινωνία με μια ανεξάρτητη ομάδα διακομιστών, γνωστών ως διακομιστές C2 δεύτερου σταδίου.

Οι ερευνητές ασφαλείας βρήκαν 15 τέτοιους διακομιστές ελέγχου δεύτερου σταδίου, οι οποίοι λειτουργούν τουλάχιστον από τον Οκτώβριο του 2021, με βάση τις πληροφορίες πιστοποιητικού x.509.

Επιθέσεις AVrecon
Επιθέσεις AVrecon (Black Lotus Labs)

​Η ομάδα ασφαλείας Black Lotus της Lumen αντιμετώπισε επίσης την απειλή AVrecon δρομολογώντας μηδενική δρομολόγηση του διακομιστή εντολών και ελέγχου (C2) του botnet σε όλο το δίκτυο κορμού τους.

Αυτό ουσιαστικά διέκοψε τη σύνδεση μεταξύ του κακόβουλου botnet και του κεντρικού διακομιστή ελέγχου του, εμποδίζοντας σημαντικά την ικανότητά του να εκτελεί επιβλαβείς δραστηριότητες.

“Η χρήση κρυπτογράφησης δεν μας επιτρέπει να σχολιάζουμε τα αποτελέσματα των επιτυχημένων προσπαθειών ψεκασμού κωδικού πρόσβασης. Ωστόσο, έχουμε μηδενίσει τους κόμβους εντολών και ελέγχου (C2) και παρεμποδίσαμε την κυκλοφορία μέσω των διακομιστών μεσολάβησης, γεγονός που κατέστησε το botnet αδρανές στη ραχοκοκαλιά Lumen », είπε η Black Lotus Labs.

Σε μια πρόσφατα εκδοθείσα δεσμευτική επιχειρησιακή οδηγία (BOD) που δημοσιεύθηκε τον περασμένο μήνα, η CISA διέταξε τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να ασφαλίσουν τον εξοπλισμό δικτύωσης που εκτίθεται στο Διαδίκτυο (συμπεριλαμβανομένων των δρομολογητών SOHO) εντός 14 ημερών από την ανακάλυψη για να αποκλείσουν πιθανές απόπειρες παραβίασης.

Ο επιτυχής συμβιβασμός τέτοιων συσκευών θα επέτρεπε στους παράγοντες της απειλής να προσθέσουν τους χακαρισμένους δρομολογητές στην υποδομή επίθεσης και να τους παράσχουν ένα σημείο εκκίνησης για πλευρική κίνηση στα εσωτερικά τους δίκτυα, όπως προειδοποίησε η CISA.

Η σοβαρότητα αυτής της απειλής πηγάζει από το γεγονός ότι οι δρομολογητές SOHO συνήθως βρίσκονται πέρα ​​από τα όρια της συμβατικής περιμέτρου ασφαλείας, μειώνοντας σημαντικά την ικανότητα των υπερασπιστών να ανιχνεύουν κακόβουλες δραστηριότητες.

Η κινεζική ομάδα κυβερνοκατασκοπείας Volt Typhoon χρησιμοποίησε παρόμοια τακτική για να δημιουργήσει ένα κρυφό δίκτυο μεσολάβησης από παραβιασμένο εξοπλισμό δικτύου ASUS, Cisco, D-Link, Netgear, FatPipe και Zyxel SOHO για να κρύψει την κακόβουλη δραστηριότητά τους εντός της νόμιμης κυκλοφορίας δικτύου, σύμφωνα με κοινή συμβουλευτική που δημοσιεύθηκε από τις υπηρεσίες κυβερνοασφάλειας Five Eyes (συμπεριλαμβανομένων των FBI, NSA και CISA) τον Μάιο.

Το μυστικό δίκτυο μεσολάβησης χρησιμοποιήθηκε από τους κινεζικούς κρατικούς χάκερ για να στοχεύσουν οργανισμούς υποδομής ζωτικής σημασίας σε όλες τις Ηνωμένες Πολιτείες τουλάχιστον από τα μέσα του 2021.

“Οι φορείς απειλών χρησιμοποιούν το AVrecon για την κυκλοφορία διακομιστή μεσολάβησης και για να συμμετέχουν σε κακόβουλη δραστηριότητα όπως ο ψεκασμός κωδικών πρόσβασης. Αυτό διαφέρει από την άμεση στόχευση δικτύου που είδαμε με άλλες ανακαλύψεις κακόβουλου λογισμικού που βασίζονται σε δρομολογητές.” είπε Michelle Lee, διευθύντρια πληροφοριών απειλών της Lumen Black Lotus Labs.

“Οι υπερασπιστές θα πρέπει να γνωρίζουν ότι μια τέτοια κακόβουλη δραστηριότητα μπορεί να προέρχεται από μια διεύθυνση IP κατοικίας σε χώρα διαφορετική από την πραγματική προέλευση και η κυκλοφορία από παραβιασμένες διευθύνσεις IP θα παρακάμψει τους κανόνες του τείχους προστασίας, όπως το geofencing και ο αποκλεισμός βάσει ASN.”





bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση