AIRASHI-Botnetz
Eine Zero-Day-Schwachstelle in den cnPilot-Routern von Cambium Networks ist zum neuesten Werkzeug für Cyberkriminelle geworden, die eine AISURU-Botnet-Variante namens AIRASHI einsetzen. Diese seit Juni 2024 aktive Kampagne nutzt die Schwachstelle aus, um mächtige Distributed-Denial-of-Service-Angriffe (DDoS) zu orchestrieren. Sicherheitsforscher haben Einzelheiten zu der Schwachstelle zurückgehalten, um ihren Missbrauch einzuschränken, während die Untersuchungen laufen.
Inhaltsverzeichnis
Eine Geschichte ausgenutzter Schwachstellen
Das AIRASHI-Botnetz ist nicht auf einen einzigen Angriffsvektor beschränkt. Es nutzt eine Reihe von Schwachstellen als Waffe aus, darunter CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 und andere Fehler, die in AVTECH-IP-Kameras, LILIN-DVRs und Shenzhen-TVT-Geräten gefunden wurden. Durch die Ausnutzung dieses breiten Spektrums an Schwachstellen vergrößert AIRASHI seine Reichweite und Raffinesse weiter.
DDoS-Angriffsmöglichkeiten: Ein genauerer Blick
Die Betreiber von AIRASHI sind nicht schüchtern, was ihre Aktivitäten angeht, und veröffentlichen Testergebnisse der DDoS-Fähigkeiten ihres Botnetzes auf Telegram. Historische Daten zeigen, dass sich seine Angriffskapazität bei etwa 1-3 Tbps stabilisiert. Geografisch gesehen befinden sich die meisten kompromittierten Geräte in Brasilien, Russland, Vietnam und Indonesien. Die Ziele konzentrieren sich jedoch auf Regionen wie China, die Vereinigten Staaten, Polen und Russland, wo die schädlichen Operationen des Botnetzes die meisten Störungen verursacht haben.
Die Entwicklung von AISURU zu AIRASHI
AIRASHI stammt vom AISURU-Botnetz, das bereits im August 2024 bei einem spektakulären DDoS-Angriff auf Steam entdeckt wurde, der mit der Veröffentlichung des Spiels Black Myth: Wukong zusammenfiel. Nachdem das Botnetz im September 2024 seinen Betrieb vorübergehend eingestellt hatte, tauchte es mit aktualisierten Funktionen unter dem Codenamen „Kitty“ wieder auf und wurde im November als AIRASHI weiter überarbeitet.
Ein Botnetz mit doppeltem Zweck: AIRASHI-DDoS und AIRASHI-Proxy
AIRASHI arbeitet in zwei unterschiedlichen Formen:
- AIRASHI-DDoS : Diese Ende Oktober 2024 entdeckte Variante konzentriert sich auf DDoS-Angriffe, erweitert ihre Fähigkeiten jedoch um die Ausführung beliebiger Befehle und den Reverse-Shell-Zugriff.
- AIRASHI-Proxy : Diese im Dezember 2024 vorgestellte Variante fügt Proxy-Funktionalität hinzu und signalisiert damit eine Diversifizierung der Dienste über DDoS-Operationen hinaus.
Kommunikation und Verschlüsselung voranbringen
Um einen sicheren und effizienten Betrieb zu gewährleisten, verwendet AIRASHI ein neues Netzwerkprotokoll, das die Verschlüsselungsalgorithmen HMAC-SHA256 und CHACHA20 nutzt. Während AIRASHI-DDoS 13 verschiedene Nachrichtentypen unterstützt, verwendet AIRASHI-Proxy einen optimierteren Ansatz mit fünf. Darüber hinaus passt das Botnetz seine Methoden dynamisch an, um Command-and-Control-Serverdetails (C2) über DNS-Abfragen abzurufen.
Botnetze und IoT-Geräte: Eine anhaltende Cyber-Bedrohung
Die Ergebnisse unterstreichen, dass Cyberkriminelle die Schwachstellen von IoT-Geräten konsequent ausnutzen. IoT-Geräte dienen sowohl als Einstiegspunkt für böswillige Akteure als auch als Grundlage für den Aufbau robuster Botnetze. Indem sie diese kompromittierten Geräte ausnutzen, verstärken Bedrohungsakteure die Schlagkraft von DDoS-Angriffen und verdeutlichen die dringende Notwendigkeit einer verbesserten Gerätesicherheit im IoT-Ökosystem.
