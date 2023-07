Přinejmenším od května 2021 byl nenápadný malware s názvem AVrecon používán k infikování více než 70 000 routerů s operačním systémem Linux pro malé a domácí kanceláře. V případě úspěšné infiltrace zapojoval postižená zařízení do botnetu určeného k poskytování skryté služby proxy serveru.

Podle týmu pro výzkum hrozeb Black Lotus Labs společnosti Lumen sice trojský kůň pro vzdálený přístup AVrecon kompromitoval více než 70 000 zařízení, ale po získání perzistence se jich do botnetu přidalo „pouze“ čtyřicet tisíc.

Dva roky unikal pozornosti

Od května 2021, kdy byl malware poprvé zaznamenán (tehdy cílil jen na routery Netgear), se mu do značné míry dařilo unikat detekci. Od té doby zůstal více než dva roky neodhalen, pomalu získával nové boty a rozrostl se v jeden z největších botnetů zaměřených na routery, který byl objeven v posledních letech.

„Máme podezření, že se útočník zaměřil na typ zařízení, u kterých uživatelé s menší pravděpodobností záplatují běžné zranitelnosti,“ uvedla společnost Black Lotus Labs. „Místo toho, aby botnet využívali k rychlým ziskům, zachovávali provozovatelé umírněnější přístup a byli schopni nepozorovaně fungovat více než dva roky. Vzhledem ke skryté povaze malwaru si majitelé infikovaných zařízení jen zřídkakdy všimli narušení služeb nebo zpomalení přenosových rychlostí.“

Útok typicky probíhal tak, že poté, co došlo k úspěšné infikaci routeru, odeslalo napadené zařízení informaci na server C2 (command-and-control), který umožňuje centrální řízení, monitorování a vzdálené ovládání síťových zařízení.

Po navázání kontaktu je napadené zařízení instruováno, aby navázalo komunikaci s nezávislou skupinou serverů, označovaných jako servery C2 druhého stupně. Bezpečnostní analytici na základě informací o certifikátech našli 15 takových serverů druhého stupně, které byly v provozu nejméně od října 2021.

Routery zneužívané ke špionáži

V nedávno vydané závazné provozní směrnici, která byla zveřejněna minulý měsíc, nařídila americká Agentura pro kybernetickou a infrastrukturní bezpečnost (CISA) všem federálním úřadům, aby do 14 dnů od odhalení zabezpečily síťová zařízení vystavená do internetu (včetně routerů) a zablokovaly tak případné pokusy o narušení. Úspěšné prolomení takových zařízení by útočníkům umožnilo přidat hacknuté routery do své útočné infrastruktury a poskytlo by jim odrazový můstek pro pozdější průnik do vnitřních sítí, varovala CISA.

Podobnou taktiku použila v minulosti čínská kyberšpionážní skupina Volt Typhoon. Ta z hacknutých síťových zařízení ASUS, Cisco, D-Link, Netgear, FatPipe a Zyxel vytvořila tajnou proxy síť, pod kterou skrývala své škodlivé aktivity v rámci legitimního síťového provozu. Tajnou proxy síť využívali například čínští státem podporovaní hackeři k útokům na organizace kritické infrastruktury ve Spojených státech nejméně od poloviny roku 2021.

„Útočníci využívají síť AVrecon k provozování proxy serverů a ke škodlivým aktivitám, jako je například sprejování hesel.“ Password spraying je forma kybernetického útoku typu brute-force, při kterém se útočníci pokoušejí získat přístup k velkému počtu účtů (uživatelských jmen) pomocí několika běžně používaných hesel. „To se liší od přímého síťového útoku, který jsme zaznamenali u našich dalších objevených malwarů využívajících routery,“ uvedla ředitelka oddělení threat intelligence ve společnosti Lumen Black Lotus Labs Michelle Lee.