Ботнет из 70 тысяч домашних роутеров крадёт пропускную способность сети своих владельцев

Более 70 тысяч домашних роутеров на базе Linux заражены скрытным вредоносным ПО AVrecon, которое используется для кражи пропускной способности и создания скрытой резидентской прокси-службы. Она позволяет злоумышленникам скрывать широкий спектр вредоносных действий, от мошенничества с цифровой рекламой до подбора паролей. О распространении угрозы сообщила команда кибербезопасности Black Lotus Labs компании Lumen.

По словам исследователей, вредоносное программное обеспечение AVrecon, являющееся трояном с удалённым доступом (RAT), было обнаружено ещё в мае 2021 года, когда оно атаковало роутеры Netgear. С тех пор троян оставался незамеченным более двух лет, постепенно захватывая новые устройства и превращаясь в один из крупнейших ботнетов, нацеленных на домашние роутеры.

«Мы полагаем, что злоумышленники сосредоточились на тех домашних устройствах, которые пользователи менее вероятно будут целенаправленно обновлять», — заявили в Black Lotus Labs.

«Вместо того, чтобы использовать этот ботнет для быстрой выгоды, операторы поддерживали более сдержанный подход и смогли работать незамеченными более двух лет. Из-за скрытного характера вредоносного ПО владельцы зараженных машин редко замечают какие-либо нарушения сервиса или потерю пропускной способности», — добавили исследователи.

После заражения вредоносное ПО отправляет информацию о скомпрометированном роутере на C2-сервер хакеров. Затем заражённое устройство получает указание установить связь с независимой группой серверов, известных как C2-серверы второго уровня.

Исследователи безопасности обнаружили 15 таких C2-серверов второго уровня, часть из которых функционирует по крайней мере с октября 2021 года. ​

Команде Black Lotus также удалось нанести удар по AVrecon, обнулив маршрутизацию C2-сервера ботнета в своей магистральной сети. Это фактически разорвало связь между сетью подключенных в ботнет устройств и её центральным сервером управления, значительно ослабив способность ботнета выполнять вредоносные действия.

«Использование шифрования не позволяет нам комментировать результаты успешных попыток подбора паролей, однако мы заблокировали C2-узлы и помешали трафику через прокси-серверы, что сделало ботнет инертным по всей магистрали Lumen», — сказал Black Lotus Labs.

Серьезность этой угрозы заключается в том, что домашние роутеры обычно находятся за пределами традиционного периметра безопасности, значительно снижая способность исследователей обнаруживать вредоносную активность.

Китайская кибершпионская группа Volt Typhoon ранее использовала аналогичную тактику для создания скрытой прокси-сети из взломанного сетевого оборудования ASUS, Cisco, D-Link, Netgear, FatPipe и Zyxel, чтобы скрыть свою вредоносную активность в пределах легитимного сетевого трафика.

Скрытая прокси-сеть использовалась китайскими хакерами для атаки организаций критической инфраструктуры по всей территории США по крайней мере с середины 2021 года.

«Специалистам безопасности следует знать, что такая вредоносная активность может исходить от того, что кажется резидентским IP-адресом в стране, отличной от фактического происхождения, и трафик от скомпрометированных IP-адресов будет обходить правила брандмауэра, такие как блокировка по геозоне и блокировка на основе ASN», — предупредил директор по разведке угроз Black Lotus Labs.

А для простых домашних пользователей самой простой рекомендацией станет регулярное обновление программного обеспечения своего роутера. Если делать это вручную неудобно, можно приобрести более современную модель с функцией автообновления, чтобы лишний раз не думать о безопасности и пропускной способности своей сети.