Ботнет из 70 тысяч домашних роутеров крадёт пропускную способность сети своих владельцев

Lammer
Lammer
14.07.2023 15:33
Вредоносное ПО AVrecon остаётся незамеченных уже более двух лет, возможно ли защитить от него своё устройство?

7i8s3zbfcykv0wtcwyywv81s28iixrl6.jpg

Более 70 тысяч домашних роутеров на базе Linux заражены скрытным вредоносным ПО AVrecon, которое используется для кражи пропускной способности и создания скрытой резидентской прокси-службы. Она позволяет злоумышленникам скрывать широкий спектр вредоносных действий, от мошенничества с цифровой рекламой до подбора паролей. О распространении угрозы сообщила команда кибербезопасности Black Lotus Labs компании Lumen.

По словам исследователей, вредоносное программное обеспечение AVrecon, являющееся трояном с удалённым доступом (RAT), было обнаружено ещё в мае 2021 года, когда оно атаковало роутеры Netgear. С тех пор троян оставался незамеченным более двух лет, постепенно захватывая новые устройства и превращаясь в один из крупнейших ботнетов, нацеленных на домашние роутеры.

«Мы полагаем, что злоумышленники сосредоточились на тех домашних устройствах, которые пользователи менее вероятно будут целенаправленно обновлять», — заявили в Black Lotus Labs.

«Вместо того, чтобы использовать этот ботнет для быстрой выгоды, операторы поддерживали более сдержанный подход и смогли работать незамеченными более двух лет. Из-за скрытного характера вредоносного ПО владельцы зараженных машин редко замечают какие-либо нарушения сервиса или потерю пропускной способности», — добавили исследователи.

После заражения вредоносное ПО отправляет информацию о скомпрометированном роутере на C2-сервер хакеров. Затем заражённое устройство получает указание установить связь с независимой группой серверов, известных как C2-серверы второго уровня.

Исследователи безопасности обнаружили 15 таких C2-серверов второго уровня, часть из которых функционирует по крайней мере с октября 2021 года.

Команде Black Lotus также удалось нанести удар по AVrecon, обнулив маршрутизацию C2-сервера ботнета в своей магистральной сети. Это фактически разорвало связь между сетью подключенных в ботнет устройств и её центральным сервером управления, значительно ослабив способность ботнета выполнять вредоносные действия.

«Использование шифрования не позволяет нам комментировать результаты успешных попыток подбора паролей, однако мы заблокировали C2-узлы и помешали трафику через прокси-серверы, что сделало ботнет инертным по всей магистрали Lumen», — сказал Black Lotus Labs.

Серьезность этой угрозы заключается в том, что домашние роутеры обычно находятся за пределами традиционного периметра безопасности, значительно снижая способность исследователей обнаруживать вредоносную активность.

Китайская кибершпионская группа Volt Typhoon ранее использовала аналогичную тактику для создания скрытой прокси-сети из взломанного сетевого оборудования ASUS, Cisco, D-Link, Netgear, FatPipe и Zyxel, чтобы скрыть свою вредоносную активность в пределах легитимного сетевого трафика.

Скрытая прокси-сеть использовалась китайскими хакерами для атаки организаций критической инфраструктуры по всей территории США по крайней мере с середины 2021 года.

«Специалистам безопасности следует знать, что такая вредоносная активность может исходить от того, что кажется резидентским IP-адресом в стране, отличной от фактического происхождения, и трафик от скомпрометированных IP-адресов будет обходить правила брандмауэра, такие как блокировка по геозоне и блокировка на основе ASN», — предупредил директор по разведке угроз Black Lotus Labs.

А для простых домашних пользователей самой простой рекомендацией станет регулярное обновление программного обеспечения своего роутера. Если делать это вручную неудобно, можно приобрести более современную модель с функцией автообновления, чтобы лишний раз не думать о безопасности и пропускной способности своей сети.
Комментарий от vbiv
vbiv
vbiv 20.07.2023 13:28
Это у тебя какое-то говно мамонта родом из 2000х. Это не норма и так не должно быть
Комментарий от дроп)
д
дроп) 20.07.2023 23:51
Ну не из двухтысячных, но лет 7 назад точно покупал его новым, старичек-с :)
Комментарий от russia
russia
russia 21.07.2023 06:24
Вот кста в качестве рекламы бе указаний брендов.
У кого такое старье, как у дропа, советую таки обновиться на что-то более современное.
Раньше тоже думал пофиг, 100 мбит и 100 мбит.
Приобрел роутер с поддержкой MIMO кайф я вам скажу ребята. Больше никаких 2г и 5г сетей отдельно.
Он сам как-то там определяет + вцелом скорость выросла процентов на 40.
Комментарий от дроп)
д
дроп) 21.07.2023 13:19
Ну это наверное актуально если у тебя большой дом. У меня все что можно - по проводам, на вафле только телефон висит и только он в белом списке. С других маков подключиться никакх.
Комментарий от vbiv
vbiv
vbiv 21.07.2023 19:51
Вайтлист обязателен для гигиены трафика. Для гостей есть гостевая сеть, которая "вкл" только когда надо. И никаких WPS.
Комментарий от Order_ddos
Order_ddos
Order_ddos 21.07.2023 23:54
Впс зло вообще... очень много уязвимостей подбирают ключи именно через него.
Комментарий от FERRY 69
FE
FERRY 69 22.07.2023 14:19
Раз уж нас понесло в обсуждение wi-fi роутеров, очень не рекомендую бесшовные системы от асуса, геморрой еще тот, хотел жизнь себе облегчить а по итогу только усложнил, не работает оно как надо. В итоге тупо продал на авито.
Чтобы оставить комментарий, необходимо войти
Онлайн
Последние сообщения
Статистика
Темы: 13 818
Сообщения: 80 710
Пользователи: 10 505