Logiciel malveillant de botnet AVrecon

Depuis mai 2021, un logiciel malveillant Linux hautement secret connu sous le nom d'AVrecon a été utilisé pour infiltrer plus de 70 000 routeurs de petits bureaux/bureaux à domicile (SOHO) fonctionnant sur des systèmes basés sur Linux. Ces routeurs compromis sont ensuite incorporés dans un botnet, remplissant un double objectif : voler la bande passante et établir un service de proxy résidentiel dissimulé. Selon les experts de l'infosec, sur les 70 000 appareils compromis par AVrecon, environ 40 000 ont été intégrés à un botnet.

En utilisant ce botnet, les opérateurs d'AVrecon peuvent dissimuler efficacement un éventail d'entreprises nuisibles. Ces activités englobent un large éventail, allant des programmes publicitaires numériques frauduleux aux attaques par pulvérisation de mots de passe. La disponibilité d'un service de proxy résidentiel caché leur fournit un moyen d'anonymiser leurs opérations et d'exploiter l'infrastructure réseau compromise pour mener à bien leurs activités néfastes sans être détectées.

Le logiciel malveillant AVrecon fonctionne silencieusement sur les appareils piratés

Depuis sa détection initiale en mai 2021, AVrecon a démontré une remarquable capacité à échapper à la détection. Il ciblait initialement les routeurs Netgear et a réussi à rester non détecté pendant plus de deux ans, élargissant régulièrement sa portée en capturant de nouveaux bots. Cette croissance incessante l'a propulsé à devenir l'un des plus grands botnets ciblant les routeurs de petits bureaux/bureaux à domicile (SOHO) ces derniers temps.

Les acteurs de la menace à l'origine de ce malware semblent s'être stratégiquement concentrés sur l'exploitation des appareils SOHO que les utilisateurs étaient moins susceptibles de corriger contre les vulnérabilités et expositions connues (CVE). En adoptant une approche plus prudente, les opérateurs ont pu opérer furtivement pendant une période prolongée, échappant à la détection pendant plus de deux ans. La nature subreptice du logiciel malveillant signifiait que les propriétaires d'appareils infectés subissaient rarement des interruptions de service notables ou une perte de bande passante, permettant en outre au botnet de persister sans être détecté.

Une fois qu'un routeur est infecté, le logiciel malveillant procède à la transmission des informations de l'appareil compromis à un serveur de commande et de contrôle (C2) intégré. Par la suite, la machine piratée reçoit des instructions pour établir une communication avec un ensemble distinct de serveurs appelés serveurs C2 de deuxième niveau. Au cours de leur enquête, les chercheurs en sécurité ont identifié un total de 15 serveurs de contrôle de deuxième niveau. Ces serveurs sont opérationnels depuis au moins octobre 2021, comme déterminé par les informations du certificat x.509.

La présence de ces serveurs C2 de deuxième niveau met en évidence l'infrastructure et l'organisation sophistiquées employées par les acteurs de la menace à l'origine du malware. Il souligne en outre les défis auxquels sont confrontés les experts en cybersécurité pour combattre et atténuer l'impact de ce botnet persistant et insaisissable.

Les appareils SOHO compromis pourraient entraîner de graves conséquences

Dans une directive opérationnelle contraignante (BOD) récemment publiée par la Cybersecurity and Infrastructure Security Agency (CISA), les agences fédérales américaines ont été mandatées pour prendre des mesures immédiates pour sécuriser les équipements de réseau exposés à Internet, y compris les routeurs SOHO. Cette directive exige des agences fédérales qu'elles renforcent ces dispositifs dans les 14 jours suivant leur découverte afin d'empêcher d'éventuelles tentatives de violation.

La raison de cette urgence est qu'une compromission réussie de ces dispositifs donnerait aux acteurs de la menace la possibilité d'intégrer les routeurs compromis dans leur infrastructure d'attaque. Ceci, à son tour, servirait de rampe de lancement pour un mouvement latéral dans les réseaux internes des entités ciblées, comme le souligne CISA dans son avertissement.

L'utilisation d'AVrecon par les acteurs de la menace a un double objectif : la transmission par proxy du trafic et la participation à des activités néfastes telles que la pulvérisation de mots de passe. Ce mode opératoire distinct le distingue de nos précédentes découvertes de logiciels malveillants basés sur des routeurs, qui se concentraient principalement sur le ciblage direct du réseau.

La gravité de cette menace découle du fait que les routeurs SOHO fonctionnent généralement en dehors du périmètre de sécurité conventionnel. Par conséquent, la capacité des défenseurs à détecter les activités dangereuses est considérablement réduite. Cette situation souligne l'importance cruciale de sécuriser rapidement ces appareils pour atténuer le risque de violations potentielles et améliorer la sécurité globale du réseau.