Podle informací bezpečnostních expertů z Black Lotus Labs malware AVrecon infikoval v nové vlně šíření 70 tisíc routerů a vytvořil mohutný botnet. AVrecon není v oblasti škodlivého softwaru žádnou novinkou a přinejmenším od května 2021 byl tento skrytý linuxový malware zneužíván k infikování skupiny routerů pro malé kanceláře a domácnosti. Po ovládnutí zařízení je spojoval do botnetu.
Analýzy malwaru potvrdily, že byl napsán v programovacím jazyce C, je ceněný vzhledem ke své přenositelnosti a zaměřuje se na zařízení architektury ARM.
Botnet obsahuje přibližně 40 tisíc uzlů ve dvaceti zemích. Ne všechny infikované směrovače jsou do této sítě pro realizaci škodlivých útoků přidány. Provozovatelům to umožňuje provádět různé druhy trestné činnosti. Jde o podvody prostřednictvím digitální reklamy (například klikání na různé reklamy na Facebooku nebo Google) i ve spolupráci s aplikací Outlook. Nebo takzvaný password-spraying. Principem tohoto útoku je použití jednoho společného hesla pro více účtů ve stejné aplikaci. Tím se útočník vyhne zablokování účtu, ke kterému obvykle dochází, když použije útok hrubou silou na jeden účet testováním různých hesel.
Od své první detekce v roce 2021 nebyl AVrecon více než dva roky odhalen. Postupně zapojoval nová zařízení do mohutného botu, až vybudoval jeden z největších botnetů zaměřených na směrovače v malých podnicích a domácnostech, objevených v posledních letech.
AVrecon: malware zůstal dva roky z velké části skrytý a nebyl odhalen
Škodlivý kód nepozorovaně infikuje desítky tisíc routerů a zapojuje je do mohutného botnetu. | Zdroj: Stephen Phillips - Hostreviews.co.uk/Unsplash
Vzhledem ke svému cílení především na směrovače v malých firmách a domácnostech zločinci předpokládají, že uživatelé neprovádějí aktualizace svých zařízení tak často, jako systémoví administrátoři ve velkých firmách. Na směrovače se tak nedostanou aktualizované firmwary s opravami identifikovaných zranitelností.
Scénář po napadení směrovače zpravidla probíhá tak, že po infiltraci škodlivého kódu na zařízení se odešlou související identifikační informace na propojený vzdálený server, který provádí následné řízení (C2, command-and-control). Po navázání komunikace je napadený směrovač instruován, aby navázal komunikaci s nezávislou skupinou serverů, které jsou označovány jako C2 druhé úrovně.
Bezpečnostní experti z firmy Black Lotus Labs vidí důvody nepozorovaného šíření malwaru i v tom, že na rozdíl od škodlivého kódu, který například těží kryptoměnu a tím je náročný na zdroje, má AVrecon jen malý dopad na koncové uživatele. Je tedy méně pravděpodobné, že by vyvolal masivní vlnu stížností, jakou obvykle přitahují botnety útočící hrubou silou na hesla, nebo weby prostřednictvím DDoS.
Jako prevenci Black Lotus Labs doporučují pravidelné restarty směrovačů a instalace aktualizací firmwaru.
Zdroj: TechRadar
video
