Около 70 тысяч домашних роутеров более двух лет находились под скрытым контролем хакеров образуя и поддерживая работу ботнета
Роутеры на базе Linux были заражены скрытным вредоносным ПО AVrecon, которое используется для кражи пропускной способности и создания скрытой резидентской прокси-службы. Она позволяет злоумышленникам скрывать широкий спектр вредоносных действий, от мошенничества с рекламой до подбора паролей. О распространении угрозы сообщила команда кибербезопасности Black Lotus Labs компании Lumen.
По словам исследователей, вредоносное программное обеспечение AVrecon, являющееся трояном с удалённым доступом (RAT), было обнаружено ещё в мае 2021 года, когда оно атаковало роутеры Netgear. С тех пор троян оставался незамеченным более двух лет, постепенно захватывая новые устройства и превращаясь в один из крупнейших ботнетов, нацеленных на домашние роутеры.
Злоумышленники сосредоточились на тех домашних устройствах, которые пользователи менее вероятно будут целенаправленно обновлять. Ставка не делалась на быструю выгоду. В начале операторы хотели увеличить объем своего ботнета, не проявляя никакой активности на присоединенных устройствах, из-за чего владельцы зараженных машин практически не замечали какие-либо нарушения сервиса или потерю пропускной способности.
После заражения вредоносное ПО отправляло информацию о скомпрометированном роутере на C2-сервер хакеров. Затем заражённое устройство получало указание установить связь с независимой группой серверов, известных как C2-серверы второго уровня. Всего было обнаружено 15 таких C2-серверов второго уровня, часть из которых функционирует по крайней мере с октября 2021 года.
Команде Black Lotus удалось нанести удар по AVrecon, обнулив маршрутизацию C2-сервера ботнета в своей магистральной сети. Это фактически разорвало связь между сетью подключенных в ботнет устройств и её центральным сервером управления, значительно ослабив способность ботнета выполнять вредоносные действия.
Серьезность подобного рода угрозы состоит в том, что домашние роутеры – это устройства находящиеся за пределами традиционного периметра безопасности и поиск вредоносных активностей здесь менее активен в силу технических особенностей.
Ранее аналогичная тактика использовалась китайской кибершпионской группой VT для создания скрытой прокси-сети из взломанного сетевого оборудования ASUS, Cisco, D-Link, Netgear, FatPipe и Zyxel, с целью скрыть свою вредоносную активность в пределах легитимного сетевого трафика. Свою сеть китайцы использовали для атаки организаций критической инфраструктуры по всей территории США по крайней мере с середины 2021 года.
Специалистам безопасности следует знать, что вредоносная активность такого рода может исходить от того, что кажется резидентским IP-адресом в стране, отличной от фактического происхождения, и трафик от скомпрометированных IP-адресов будет обходить правила брандмауэра, такие как блокировка по геозоне и блокировка на основе ASN.
А для простых домашних пользователей самой простой рекомендацией станет регулярное обновление программного обеспечения своего роутера. Если делать это вручную неудобно, можно приобрести более современную модель с функцией автообновления, чтобы лишний раз не думать о безопасности и пропускной способности своей сети. Конечно, это не станет стопроцентной защитой – это лишь один пункт из комплекса мер по защите своей сети. Антивирусные программы с функцией анализа трафика могут существенно помочь следить за состоянием сети. Ну и конечно простое наблюдение за скоростью – если интернет начинает «лагать», то стоит задуматься: не использует ли вашу сеть кто-то еще кроме вас.
По материалам TeleType