24/01/25
Целью атак стали сотни серверов, расположенных в 13 регионах мира, что позволило добиться максимального разрушительного эффекта. В этой операции использовалась ботнет-сеть под названием AISURU, которая впоследствии обновилась и получила название AIRASHI, пишет Securitylab.
После публичного разоблачения атаки в сентябре активность AISURU временно прекратилась, однако в октябре сеть была модернизирована. Новая версия ботнета, известная как «kitty», а к концу ноября — AIRASHI, показала существенные усовершенствования.
AIRASHI выделяется следующими характеристиками: использование 0day-уязвимости роутеров cnPilot для распространения, шифрование строк с помощью RC4 и добавление в протокол HMAC-SHA256 и ChaCha20. Также ботнет имеет мощные возможности для атак и распределённую сеть командных серверов.
AIRASHI активно эксплуатирует множество уязвимостей. Многие из них затрагивают устройства AVTECH, Android ADB Debug Server и другие. Несмотря на контакт с производителем cnPilot ещё в июне прошлого года, устранить уязвимость так и не удалось. Чтобы избежать новых атак, детали 0day-уязвимости не раскрываются по сей день.
Операторы ботнета AIRASHI демонстрируют его возможности на различных платформах, включая Telegram. Тесты показывают стабильный пик атаки в 1-3 Тбит/с, что подтверждает его разрушительный потенциал. Главными целями становятся серверы в Китае, США, России и Польше, однако чёткого выбора жертв нет — ботнет атакует сотни объектов ежедневно.
Технический анализ образцов AIRASHI показывает постоянные обновления, включая использование SOCKS5-прокси и внедрение новых сетевых протоколов. Ботнет активно использует современные методы шифрования, такие как ChaCha20 и HMAC-SHA256, для защиты своих коммуникаций. В последнее время добавлены функции обратного шелла и прокси-сервисов, что ещё больше усиливает функционал сети.
