Более 70 тысяч домашних роутеров на базе Linux заражены скрытным вредоносным ПО AVrecon, которое используется для кражи пропускной способности и создания скрытой резидентской прокси-службы. Об этом сообщила команда по исследованию угроз Black Lotus Labs компании Lumen.
Эта прокси-служба позволяет злоумышленникам скрывать широкий спектр вредоносных действий, от мошенничества с цифровой рекламой до подбора паролей.
По словам исследователей, вредоносное ПО AVrecon, являющееся трояном с удалённым доступом (RAT), было обнаружено ещё в мае 2021 года, когда оно атаковало роутеры Netgear. С тех пор оно оставалось незамеченным более двух лет, постепенно захватывая новые устройства и превращаясь в один из крупнейших ботнетов, нацеленных на домашние роутеры.
“Мы полагаем, что злоумышленники сосредоточились на тех домашних устройствах, которые пользователи менее вероятно будут целенаправленно обновлять”, – заявили в Black Lotus Labs.
“Вместо того, чтобы использовать этот ботнет для быстрой выгоды, операторы поддерживали более сдержанный подход и смогли работать незамеченными более двух лет. Из-за скрытного характера вредоносного ПО владельцы зараженных машин редко замечают какие-либо нарушения сервиса или потерю пропускной способности”.
После заражения вредоносное ПО отправляет информацию о скомпрометированном роутере на встроенный C2-сервер. После установления контакта зараженное устройство получает указание установить связь с независимой группой серверов, известных как C2-серверы второго уровня.
Исследователи безопасности обнаружили 15 таких C2-серверов второго уровня, часть из которых функционирует по крайней мере с октября 2021 года.
Команда Black Lotus также нанесла удар по AVrecon, обнулив маршрутизацию C2-сервера ботнета в своей магистральной сети. Это фактически разорвало связь между сетью подключенных в ботнет устройств и её центральным сервером управления, значительно ослабив способность сети выполнять вредоносные действия.
“Использование шифрования не позволяет нам комментировать результаты успешных попыток подбора паролей; однако мы заблокировали C2-узлы и помешали трафику через прокси-серверы, что сделало ботнет инертным по всей магистрали Lumen”, – сказал Black Lotus Labs.
Серьезность этой угрозы заключается в том, что домашние роутеры обычно находятся за пределами традиционного периметра безопасности, значительно снижая способность исследователей обнаруживать вредоносную активность.
Китайская кибершпионская группа Volt Typhoon ранее использовала аналогичную тактику для создания скрытой прокси-сети из взломанного сетевого оборудования ASUS, Cisco, D-Link, Netgear, FatPipe и Zyxel, чтобы скрыть свою вредоносную активность в пределах легитимного сетевого трафика.
Скрытая прокси-сеть использовалась китайскими хакерами для атаки организаций критической инфраструктуры по всей территории США по крайней мере с середины 2021 года.
“Специалистам безопасности следует знать, что такая вредоносная активность может исходить от того, что кажется резидентским IP-адресом в стране, отличной от фактического происхождения, и трафик от скомпрометированных IP-адресов будет обходить правила брандмауэра, такие как блокировка по геозоне и блокировка на основе ASN”, – предупредил директор по разведке угроз Black Lotus Labs.
А для простых домашних пользователей самой простой рекомендацией станет регулярное обновление программного обеспечения своего роутера. Если делать это вручную неудобно, можно приобрести более современную модель с функцией автообновления, чтобы лишний раз не думать о безопасности и пропускной способности своей сети.