Studiuesit në Lumen’s Black Lotus Labs zbuluan një botnet prej më shumë se 70,000 ruterash SOHO (Zyra të Vogël/Home-Office) të infektuar nga AVrecon. Botnet-i, i fshehur prej gati dy vitesh, po shfrytëzohej për aktivitete të ndryshme të paligjshme. Fatmirësisht ai u çmontua, duke ndërprerë komunikimin e ruterit me serverin C2 (komandë dhe kontroll).
AVrecon: Linux RAT për ruterat
AVrecon një RAT (Remote Access Trojan) për Linux i shkruar në gjuhën C. Nuk është e qartë se si u infektuan ruterët (pothuajse me siguri duke shfrytëzuar dobësitë që i bëjnë ata të aksesueshëm nga Interneti). Zakonisht një botnet përdoret për të kryer sulme DDoS dhe kriptominim, por këto aktivitete mund të zbulohen. Në vend të kësaj, kriminelët kibernetikë përdorën ruterat për të krijuar proxies të fshehura të banimit.
Pas infektimit të pajisjeve, malware dërgon informacion në serverin C2, nga i cili merr komanda. AVrecon më pas instalon një guaskë në distancë dhe shkarkon skedarët e nevojshëm për të konfiguruar një përfaqësues. Ndër aktivitetet e zbuluara nga studiuesit janë klikimet e simuluara në reklamat në Facebook dhe Google, vjedhja e të dhënave dhe përdorimi i teknikës password spraying për të gjetur kredencialet.
Ekspertët e Lumen identifikuan mbi 70,000 ruterë (adresa IP të dallueshme), por rreth 41,000 prej tyre ende kontaktuan serverin C2 (derisa komunikimi u ndërpre). Krijimi i botnet-eve të formuara nga ruterat SOHO janë gjithnjë e më të shpeshta sepse përdoruesit nuk instalojnë firmware të ri që rregullon dobësitë.
Discussion about this post