Ботнет из 70 тысяч домашних роутеров крадёт пропускную способность сети своих владельцев
14.07.2023 15:33
Вредоносное ПО AVrecon остаётся незамеченных уже более двух лет, возможно ли защитить от него своё устройство?
Более 70 тысяч домашних роутеров на базе Linux заражены скрытным вредоносным ПО AVrecon, которое используется для кражи пропускной способности и создания скрытой резидентской прокси-службы. Она позволяет злоумышленникам скрывать широкий спектр вредоносных действий, от мошенничества с цифровой рекламой до подбора паролей. О распространении угрозы сообщила команда кибербезопасности Black Lotus Labs компании Lumen.
По словам исследователей, вредоносное программное обеспечение AVrecon, являющееся трояном с удалённым доступом (RAT), было обнаружено ещё в мае 2021 года, когда оно атаковало роутеры Netgear. С тех пор троян оставался незамеченным более двух лет, постепенно захватывая новые устройства и превращаясь в один из крупнейших ботнетов, нацеленных на домашние роутеры.
«Мы полагаем, что злоумышленники сосредоточились на тех домашних устройствах, которые пользователи менее вероятно будут целенаправленно обновлять», — заявили в Black Lotus Labs.
«Вместо того, чтобы использовать этот ботнет для быстрой выгоды, операторы поддерживали более сдержанный подход и смогли работать незамеченными более двух лет. Из-за скрытного характера вредоносного ПО владельцы зараженных машин редко замечают какие-либо нарушения сервиса или потерю пропускной способности», — добавили исследователи.
После заражения вредоносное ПО отправляет информацию о скомпрометированном роутере на C2-сервер хакеров. Затем заражённое устройство получает указание установить связь с независимой группой серверов, известных как C2-серверы второго уровня.
Исследователи безопасности обнаружили 15 таких C2-серверов второго уровня, часть из которых функционирует по крайней мере с октября 2021 года.
Команде Black Lotus также удалось нанести удар по AVrecon, обнулив маршрутизацию C2-сервера ботнета в своей магистральной сети. Это фактически разорвало связь между сетью подключенных в ботнет устройств и её центральным сервером управления, значительно ослабив способность ботнета выполнять вредоносные действия.
«Использование шифрования не позволяет нам комментировать результаты успешных попыток подбора паролей, однако мы заблокировали C2-узлы и помешали трафику через прокси-серверы, что сделало ботнет инертным по всей магистрали Lumen», — сказал Black Lotus Labs.
Серьезность этой угрозы заключается в том, что домашние роутеры обычно находятся за пределами традиционного периметра безопасности, значительно снижая способность исследователей обнаруживать вредоносную активность.
Китайская кибершпионская группа Volt Typhoon ранее использовала аналогичную тактику для создания скрытой прокси-сети из взломанного сетевого оборудования ASUS, Cisco, D-Link, Netgear, FatPipe и Zyxel, чтобы скрыть свою вредоносную активность в пределах легитимного сетевого трафика.
Скрытая прокси-сеть использовалась китайскими хакерами для атаки организаций критической инфраструктуры по всей территории США по крайней мере с середины 2021 года.
«Специалистам безопасности следует знать, что такая вредоносная активность может исходить от того, что кажется резидентским IP-адресом в стране, отличной от фактического происхождения, и трафик от скомпрометированных IP-адресов будет обходить правила брандмауэра, такие как блокировка по геозоне и блокировка на основе ASN», — предупредил директор по разведке угроз Black Lotus Labs.
А для простых домашних пользователей самой простой рекомендацией станет регулярное обновление программного обеспечения своего роутера. Если делать это вручную неудобно, можно приобрести более современную модель с функцией автообновления, чтобы лишний раз не думать о безопасности и пропускной способности своей сети.
Более 70 тысяч домашних роутеров на базе Linux заражены скрытным вредоносным ПО AVrecon, которое используется для кражи пропускной способности и создания скрытой резидентской прокси-службы. Она позволяет злоумышленникам скрывать широкий спектр вредоносных действий, от мошенничества с цифровой рекламой до подбора паролей. О распространении угрозы сообщила команда кибербезопасности Black Lotus Labs компании Lumen.
По словам исследователей, вредоносное программное обеспечение AVrecon, являющееся трояном с удалённым доступом (RAT), было обнаружено ещё в мае 2021 года, когда оно атаковало роутеры Netgear. С тех пор троян оставался незамеченным более двух лет, постепенно захватывая новые устройства и превращаясь в один из крупнейших ботнетов, нацеленных на домашние роутеры.
«Мы полагаем, что злоумышленники сосредоточились на тех домашних устройствах, которые пользователи менее вероятно будут целенаправленно обновлять», — заявили в Black Lotus Labs.
«Вместо того, чтобы использовать этот ботнет для быстрой выгоды, операторы поддерживали более сдержанный подход и смогли работать незамеченными более двух лет. Из-за скрытного характера вредоносного ПО владельцы зараженных машин редко замечают какие-либо нарушения сервиса или потерю пропускной способности», — добавили исследователи.
После заражения вредоносное ПО отправляет информацию о скомпрометированном роутере на C2-сервер хакеров. Затем заражённое устройство получает указание установить связь с независимой группой серверов, известных как C2-серверы второго уровня.
Исследователи безопасности обнаружили 15 таких C2-серверов второго уровня, часть из которых функционирует по крайней мере с октября 2021 года.
Команде Black Lotus также удалось нанести удар по AVrecon, обнулив маршрутизацию C2-сервера ботнета в своей магистральной сети. Это фактически разорвало связь между сетью подключенных в ботнет устройств и её центральным сервером управления, значительно ослабив способность ботнета выполнять вредоносные действия.
«Использование шифрования не позволяет нам комментировать результаты успешных попыток подбора паролей, однако мы заблокировали C2-узлы и помешали трафику через прокси-серверы, что сделало ботнет инертным по всей магистрали Lumen», — сказал Black Lotus Labs.
Серьезность этой угрозы заключается в том, что домашние роутеры обычно находятся за пределами традиционного периметра безопасности, значительно снижая способность исследователей обнаруживать вредоносную активность.
Китайская кибершпионская группа Volt Typhoon ранее использовала аналогичную тактику для создания скрытой прокси-сети из взломанного сетевого оборудования ASUS, Cisco, D-Link, Netgear, FatPipe и Zyxel, чтобы скрыть свою вредоносную активность в пределах легитимного сетевого трафика.
Скрытая прокси-сеть использовалась китайскими хакерами для атаки организаций критической инфраструктуры по всей территории США по крайней мере с середины 2021 года.
«Специалистам безопасности следует знать, что такая вредоносная активность может исходить от того, что кажется резидентским IP-адресом в стране, отличной от фактического происхождения, и трафик от скомпрометированных IP-адресов будет обходить правила брандмауэра, такие как блокировка по геозоне и блокировка на основе ASN», — предупредил директор по разведке угроз Black Lotus Labs.
А для простых домашних пользователей самой простой рекомендацией станет регулярное обновление программного обеспечения своего роутера. Если делать это вручную неудобно, можно приобрести более современную модель с функцией автообновления, чтобы лишний раз не думать о безопасности и пропускной способности своей сети.
Чтобы оставить комментарий, необходимо войти
Онлайн
Последние сообщения
Статистика
Темы:
13 818
Сообщения:
80 710
Пользователи:
10 505
Комментарий от vbiv
Юзайте Mikrotik - или Ubiquiti и спите спокойно, даже домашние бюджетные модели норм защищены.
Комментарий от Aligator Jack
Комментарий от S3M3N
Все равно выше 100 мбит у меня интернета нет в нп.
Живет и трудится у же много лет, перезагружать только нужно периодами
Комментарий от Queen
Комментарий от vbiv
Комментарий от Aligator Jack
Комментарий от kansuruy
Обновления прошивок вообще то и делают для того, чтобы позакрывать подобные дыры в безопасности.
Комментарий от NikJuk
Далеко не все роутеры умеют делать это автоматом.
А это нужно скачать прошивку, зайти в админку, закинуть её...
Я про себя честно скажу, что с момента покупки нового я её ни разу не обновлял (Асус).
С виндой то или ios все проще, оно само проверяет, само пока спишь обновляет.
Комментарий от Евгеньевич
Комментарий от дроп)
а заново все настраивать каждый раз просто впадлу