Контакты
Подписка 2024
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита инфраструктуры и данных от современных угроз
Регистрируйтесь на онлайн-конференцию!

Ботнет из 70 тысяч домашних роутеров крадёт пропускную способность сети своих владельцев

17/07/23

download (2)-Jul-17-2023-08-49-00-4570-AM

Более 70 тысяч домашних роутеров на базе Linux заражены скрытным вредоносным ПО AVrecon, которое используется для кражи пропускной способности и создания скрытой резидентской прокси-службы. Она позволяет злоумышленникам скрывать широкий спектр вредоносных действий, от мошенничества с цифровой рекламой до подбора паролей, пишет Securitylab. О распространении угрозы сообщила команда кибербезопасности Black Lotus Labs компании Lumen.

По словам исследователей, вредоносное программное обеспечение AVrecon, являющееся трояном с удалённым доступом (RAT), было обнаружено ещё в мае 2021 года, когда оно атаковало роутеры Netgear. С тех пор троян оставался незамеченным более двух лет, постепенно захватывая новые устройства и превращаясь в один из крупнейших ботнетов, нацеленных на домашние роутеры.

«Мы полагаем, что злоумышленники сосредоточились на тех домашних устройствах, которые пользователи менее вероятно будут целенаправленно обновлять», — заявили в Black Lotus Labs.

«Вместо того, чтобы использовать этот ботнет для быстрой выгоды, операторы поддерживали более сдержанный подход и смогли работать незамеченными более двух лет. Из-за скрытного характера вредоносного ПО владельцы зараженных машин редко замечают какие-либо нарушения сервиса или потерю пропускной способности», — добавили исследователи.

После заражения вредоносное ПО отправляет информацию о скомпрометированном роутере на C2-сервер хакеров. Затем заражённое устройство получает указание установить связь с независимой группой серверов, известных как C2-серверы второго уровня.

Исследователи безопасности обнаружили 15 таких C2-серверов второго уровня, часть из которых функционирует по крайней мере с октября 2021 года. ​

Команде Black Lotus также удалось нанести удар по AVrecon, обнулив маршрутизацию C2-сервера ботнета в своей магистральной сети. Это фактически разорвало связь между сетью подключенных в ботнет устройств и её центральным сервером управления, значительно ослабив способность ботнета выполнять вредоносные действия.

«Использование шифрования не позволяет нам комментировать результаты успешных попыток подбора паролей, однако мы заблокировали C2-узлы и помешали трафику через прокси-серверы, что сделало ботнет инертным по всей магистрали Lumen», — сказал Black Lotus Labs.

Серьезность этой угрозы заключается в том, что домашние роутеры обычно находятся за пределами традиционного периметра безопасности, значительно снижая способность исследователей обнаруживать вредоносную активность.

Китайская кибершпионская группа Volt Typhoon ранее использовала аналогичную тактику для создания скрытой прокси-сети из взломанного сетевого оборудования ASUS, Cisco, D-Link, Netgear, FatPipe и Zyxel, чтобы скрыть свою вредоносную активность в пределах легитимного сетевого трафика.

Скрытая прокси-сеть использовалась китайскими хакерами для атаки организаций критической инфраструктуры по всей территории США по крайней мере с середины 2021 года.

«Специалистам безопасности следует знать, что такая вредоносная активность может исходить от того, что кажется резидентским IP-адресом в стране, отличной от фактического происхождения, и трафик от скомпрометированных IP-адресов будет обходить правила брандмауэра, такие как блокировка по геозоне и блокировка на основе ASN», — предупредил директор по разведке угроз Black Lotus Labs.

А для простых домашних пользователей самой простой рекомендацией станет регулярное обновление программного обеспечения своего роутера. Если делать это вручную неудобно, можно приобрести более современную модель с функцией автообновления, чтобы лишний раз не думать о безопасности и пропускной способности своей сети.

Темы:LinuxУгрозыботнетроутерыBlack Lotus Labs
NGFW
24 июля. Отечественные ИT-платформы и ПО для объектов КИИ: готовность предприятий к 01 января 2025
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...