Depuis au moins mai 2021, un logiciel malveillant Linux furtif appelé AVrecon a été utilisé pour infecter plus de 70 000 routeurs de petits bureaux/bureaux à domicile (SOHO) basés sur Linux vers un botnet conçu pour voler de la bande passante et fournir un service de proxy résidentiel caché.
Cela permet à ses opérateurs de dissimuler un large éventail d’activités malveillantes, de la fraude publicitaire numérique à la pulvérisation de mots de passe.
Selon l’équipe de recherche sur les menaces Black Lotus Labs de Lumen, alors que le cheval de Troie d’accès à distance (RAT) AVrecon a compromis plus de 70 000 appareils, seuls 40 000 ont été ajoutés au botnet après avoir gagné en persistance.
Le malware a largement réussi à échapper à la détection depuis qu’il a été repéré pour la première fois en mai 2021 alors qu’il ciblait les routeurs Netgear. Depuis lors, il n’a pas été détecté pendant plus de deux ans, capturant lentement de nouveaux bots et devenant l’un des plus grands botnets ciblant les routeurs SOHO découverts ces dernières années.
« Nous soupçonnons que l’acteur de la menace axé sur le type d’utilisateurs d’appareils SOHO serait moins susceptible de corriger les vulnérabilités et expositions courantes (CVE) », a déclaré Black Lotus Labs.
« Au lieu d’utiliser ce botnet pour un paiement rapide, les opérateurs ont maintenu une approche plus modérée et ont pu opérer sans être détectés pendant plus de deux ans. En raison de la nature subreptice du malware, les propriétaires de machines infectées remarquent rarement une interruption ou une perte de service. de bande passante. »
Une fois infecté, le logiciel malveillant envoie les informations du routeur compromis à un serveur de commande et de contrôle (C2) intégré. Une fois le contact établi, la machine piratée est invitée à établir une communication avec un groupe de serveurs indépendants, appelés serveurs C2 de deuxième niveau.
Les chercheurs en sécurité ont trouvé 15 de ces serveurs de contrôle de deuxième étape, qui sont opérationnels depuis au moins octobre 2021, sur la base des informations de certificat x.509.
L’équipe de sécurité Black Lotus de Lumen a également abordé la menace AVrecon en acheminant le serveur de commande et de contrôle (C2) du botnet sur son réseau fédérateur.
Cela a effectivement coupé la connexion entre le botnet malveillant et son serveur de contrôle central, entravant considérablement sa capacité à exécuter des activités nuisibles.
« L’utilisation du cryptage nous empêche de commenter les résultats des tentatives de pulvérisation de mots de passe réussies ; cependant, nous avons acheminé les nœuds de commande et de contrôle (C2) et entravé le trafic via les serveurs proxy, ce qui a rendu le botnet inerte sur la dorsale Lumen. « , a déclaré Black Lotus Labs.
Dans une directive opérationnelle contraignante (BOD) publiée récemment le mois dernier, la CISA a ordonné aux agences fédérales américaines de sécuriser les équipements de réseau exposés à Internet (y compris les routeurs SOHO) dans les 14 jours suivant leur découverte afin de bloquer les tentatives de violation potentielles.
Une compromission réussie de ces dispositifs permettrait aux acteurs de la menace d’ajouter les routeurs piratés à leur infrastructure d’attaque et de leur fournir une rampe de lancement pour un mouvement latéral dans leurs réseaux internes, comme l’a averti la CISA.
La gravité de cette menace découle du fait que les routeurs SOHO résident généralement au-delà des limites du périmètre de sécurité conventionnel, ce qui réduit considérablement la capacité des défenseurs à détecter les activités malveillantes.
Le groupe de cyberespionnage chinois Volt Typhoon a utilisé une tactique similaire pour créer un réseau proxy secret à partir d’équipements réseau ASUS, Cisco, D-Link, Netgear, FatPipe et Zyxel SOHO piratés afin de dissimuler leur activité malveillante dans le trafic réseau légitime, selon un joint avis publié par les agences de cybersécurité Five Eyes (dont le FBI, la NSA et la CISA) en mai.
Le réseau proxy secret a été utilisé par les pirates informatiques de l’État chinois pour cibler les organisations d’infrastructures critiques à travers les États-Unis depuis au moins la mi-2021.
« Les acteurs de la menace utilisent AVrecon pour proxy le trafic et pour se livrer à des activités malveillantes comme la pulvérisation de mots de passe. Ceci est différent du ciblage direct du réseau que nous avons vu avec nos autres découvertes de logiciels malveillants basés sur un routeur », a déclaré Michelle Lee, directrice du renseignement sur les menaces de Lumen Black Lotus. Laboratoires.
« Les défenseurs doivent être conscients qu’une telle activité malveillante peut provenir de ce qui semble être une adresse IP résidentielle dans un pays autre que l’origine réelle, et le trafic provenant d’adresses IP compromises contournera les règles de pare-feu telles que le géorepérage et le blocage basé sur ASN. »