Devis de remise multi-licences
Données concernant les menaces Botnets Botnet AIRASHI

Botnet AIRASHI

Par Mezo en Botnets, Logiciels malveillants
Se traduisent par :
Français

Une vulnérabilité zero-day dans les routeurs cnPilot de Cambium Networks est devenue le dernier outil des cybercriminels déployant une variante du botnet AISURU connue sous le nom d'AIRASHI. Cette campagne, active depuis juin 2024, exploite la faille pour orchestrer de puissantes attaques par déni de service distribué (DDoS). Les chercheurs en sécurité n'ont pas divulgué les détails de la vulnérabilité pour limiter son utilisation abusive pendant que les enquêtes sont en cours.

Une histoire de vulnérabilités exploitées

Le botnet AIRASHI ne se limite pas à un seul vecteur d'attaque. Il exploite une série de vulnérabilités, notamment CVE-2013-3307, CVE-2016-20016, CVE-2017-5259, CVE-2018-14558, CVE-2020-25499, CVE-2020-8515, CVE-2022-3573, CVE-2022-40005, CVE-2022-44149, CVE-2023-287 et d'autres failles détectées dans les caméras IP AVTECH, les DVR LILIN et les appareils TVT de Shenzhen. En exploitant ce large spectre de faiblesses, AIRASHI continue d'accroître sa portée et sa sophistication.

Capacités d'attaque DDoS : un examen plus approfondi

Les opérateurs derrière AIRASHI ne cachent pas leurs activités, publiant sur Telegram les résultats des tests des capacités DDoS de leur botnet. Les données historiques révèlent que sa capacité d'attaque se stabilise autour de 1 à 3 Tbps. Géographiquement, la plupart des appareils compromis se trouvent au Brésil, en Russie, au Vietnam et en Indonésie. Cependant, les cibles sont concentrées dans des régions comme la Chine, les États-Unis, la Pologne et la Russie, où les opérations nuisibles du botnet ont causé le plus de perturbations.

L'évolution d'AISURU vers AIRASHI

AIRASHI est issu du botnet AISURU, qui avait été identifié en août 2024 lors d'une attaque DDoS de grande envergure sur Steam, qui a coïncidé avec la sortie du jeu Black Myth: Wukong. Après avoir temporairement interrompu ses opérations en septembre 2024, le botnet a réapparu avec des fonctionnalités mises à jour sous le nom de code « kitty » et a été remanié sous le nom d'AIRASHI en novembre.

Un botnet à double usage : AIRASHI-DDoS et AIRASHI-Proxy

AIRASHI opère sous deux formes distinctes :

  • AIRASHI-DDoS : Détectée fin octobre 2024, cette variante se concentre sur les attaques DDoS mais étend ses capacités pour inclure l'exécution de commandes arbitraires et l'accès shell inversé.
  • AIRASHI-Proxy : Dévoilée en décembre 2024, cette variante ajoute une fonctionnalité proxy, signalant une diversification des services au-delà des opérations DDoS.

Faire progresser la communication et le cryptage

Pour garantir des opérations sécurisées et efficaces, AIRASHI utilise un nouveau protocole réseau exploitant les algorithmes de chiffrement HMAC-SHA256 et CHACHA20. Alors qu'AIRASHI-DDoS prend en charge 13 types de messages distincts, AIRASHI-Proxy utilise une approche plus rationalisée avec cinq. De plus, le botnet ajuste dynamiquement ses méthodes pour récupérer les détails du serveur de commande et de contrôle (C2) via des requêtes DNS.

Botnets et appareils IoT : une cybermenace persistante

Les résultats de l'enquête mettent en évidence l'exploitation constante des vulnérabilités des appareils IoT par les cybercriminels. Les appareils IoT servent à la fois de point d'entrée pour les acteurs malveillants et de base pour la création de botnets robustes. En exploitant ces appareils compromis, les acteurs malveillants amplifient la puissance des attaques DDoS, mettant en évidence le besoin crucial de renforcer la sécurité des appareils dans l'écosystème IoT.

Tendance

Le plus regardé

Chargement...