AVrecon-Botnet-Malware

Ab Mai 2021 wurde eine äußerst verdeckte Linux-Malware namens AVrecon eingesetzt, um mehr als 70.000 Router kleiner Büros/Heimbüros (SOHO) zu infiltrieren, die auf Linux-basierten Systemen betrieben werden. Diese kompromittierten Router werden dann in ein Botnetz eingebunden, das einem doppelten Zweck dient: Bandbreitendiebstahl und Einrichtung eines verdeckten Proxy-Dienstes für Privathaushalte. Nach Angaben von Infosec-Experten wurden von den 70.000 durch AVrecon kompromittierten Geräten etwa 40.000 in ein Botnetz eingebunden.

Durch die Nutzung dieses Botnetzes können die Betreiber von AVrecon eine Reihe schädlicher Unternehmungen effektiv verbergen. Diese Aktivitäten umfassen ein breites Spektrum, das von betrügerischen digitalen Werbemaßnahmen bis hin zu Passwort-Spraying-Angriffen reicht. Die Verfügbarkeit eines versteckten Proxy-Dienstes für Privatanwender bietet ihnen die Möglichkeit, ihre Vorgänge zu anonymisieren und die kompromittierte Netzwerkinfrastruktur auszunutzen, um ihre schändlichen Aktivitäten unentdeckt auszuführen.

Die AVrecon-Malware agiert unbemerkt auf den angegriffenen Geräten

Seit seiner ersten Entdeckung im Mai 2021 hat AVrecon eine bemerkenswerte Fähigkeit bewiesen, sich einer Entdeckung zu entziehen. Zunächst zielte es auf Netgear-Router ab, blieb über zwei Jahre lang unentdeckt und vergrößerte seine Reichweite stetig, indem es neue Bots anlockte. Dieses unaufhörliche Wachstum hat es zu einem der größten Botnetze der letzten Zeit gemacht, die es auf Router kleiner Büros/Heimbüros (SOHO) abgesehen haben.

Die Bedrohungsakteure hinter dieser Malware scheinen sich strategisch darauf konzentriert zu haben, SOHO-Geräte auszunutzen, bei denen die Wahrscheinlichkeit geringer ist, dass Benutzer sie gegen bekannte Schwachstellen und Gefährdungen (CVEs) patchen. Durch ein vorsichtigeres Vorgehen konnten die Betreiber über einen längeren Zeitraum hinweg heimlich agieren und sich über zwei Jahre lang der Entdeckung entziehen. Der heimliche Charakter der Malware führte dazu, dass Besitzer infizierter Geräte selten spürbare Dienstunterbrechungen oder Bandbreitenverluste erlebten, wodurch das Botnetz weiterhin unentdeckt blieb.

Sobald ein Router infiziert ist, überträgt die Malware die Informationen des gefährdeten Geräts an einen eingebetteten Command-and-Control-Server (C2). Anschließend erhält die gehackte Maschine Anweisungen zum Aufbau einer Kommunikation mit einem separaten Satz von Servern, den sogenannten C2-Servern der zweiten Stufe. Bei ihrer Untersuchung identifizierten die Sicherheitsforscher insgesamt 15 Kontrollserver der zweiten Stufe. Diese Server sind mindestens seit Oktober 2021 in Betrieb, wie aus den x.509-Zertifikatinformationen hervorgeht.

Das Vorhandensein dieser C2-Server der zweiten Stufe unterstreicht die ausgefeilte Infrastruktur und Organisation, die von den Bedrohungsakteuren hinter der Malware eingesetzt wird. Es unterstreicht außerdem die Herausforderungen, vor denen Cybersicherheitsexperten bei der Bekämpfung und Abschwächung der Auswirkungen dieses hartnäckigen und schwer fassbaren Botnetzes stehen.

Kompromittierte SOHO-Geräte könnten schwerwiegende Folgen haben

In einer verbindlichen operativen Richtlinie (BOD), die kürzlich von der Cybersecurity and Infrastructure Security Agency (CISA) herausgegeben wurde, wurden US-Bundesbehörden beauftragt, sofort Maßnahmen zur Sicherung von Netzwerkgeräten, die dem Internet ausgesetzt sind, einschließlich SOHO-Routern, zu ergreifen. Diese Richtlinie verlangt von den Bundesbehörden, diese Geräte innerhalb von 14 Tagen nach Entdeckung zu sichern, um potenzielle Einbruchsversuche zu verhindern.

Der Grund für diese Dringlichkeit besteht darin, dass eine erfolgreiche Kompromittierung solcher Geräte den Bedrohungsakteuren die Möglichkeit geben würde, die kompromittierten Router in ihre Angriffsinfrastruktur zu integrieren. Dies würde wiederum als Startrampe für eine laterale Bewegung in die internen Netzwerke der Zielunternehmen dienen, wie CISA in ihrer Warnung betont.

Die Nutzung von AVrecon durch Bedrohungsakteure dient einem doppelten Zweck: der Weiterleitung des Datenverkehrs und der Durchführung schändlicher Aktivitäten wie dem Versprühen von Passwörtern. Diese besondere Vorgehensweise unterscheidet es von unseren früheren Entdeckungen routerbasierter Malware, die sich hauptsächlich auf direktes Netzwerk-Targeting konzentrierte.

Die Schwere dieser Bedrohung ergibt sich aus der Tatsache, dass SOHO-Router typischerweise außerhalb des herkömmlichen Sicherheitsbereichs betrieben werden. Folglich ist die Fähigkeit der Verteidiger, unsichere Aktivitäten zu erkennen, erheblich eingeschränkt. Diese Situation verdeutlicht, wie wichtig es ist, diese Geräte umgehend zu sichern, um das Risiko potenzieller Sicherheitsverletzungen zu mindern und die allgemeine Netzwerksicherheit zu verbessern.