Агентство США по кибербезопасности и безопасности инфраструктуры (CISA) сообщило, что использование сетевых устройств вроде маршрутизаторов категории SOHO может обеспечить злоумышленникам инфраструктуру для атак и неограниченного доступа к корпоративным сетям. Особенно это актуально в связи с тем, что маршрутизаторы SOHO обновляются реже по сравнению с другими сетевыми устройствами.

Группа по исследованию сетевых угроз Black Lotus Labs, входящая в состав американской телекоммуникационной компании Lumen Technologies, обнаружила новый ботнет. Скрывался он так умело, что смог оставаться незамеченным по меньшей мере два года.

Ботнет был назван AVrecon и единственный раз упоминался в мае 2021 года. Установлено, что в его состав входит более 70000 маршрутизаторов на Linux и ему на постоянной основе принадлежат более 40000 IP-адресов в более чем 20 странах.

AVrecon написан на языке программирования C и нацеливается на устройства на архитектуре Arm под управлением Linux, в первую очередь на маршрутизаторы для малого и домашнего офиса (SOHO). У них обычно нет стандартных решений защиты конечных точек, за счёт чего вредоносные программы способны на протяжении длительного времени задействовать известные уязвимости.

AVrecon с технической точки зрения представляет собой троян удалённого доступа (RAT). Применялся он в первую очередь для кликов по рекламе Facebook и Google в заражённых системах.

После заражения маршрутизатора программа отправляла информацию о нём на сервер управления и контроля первого уровня. Дальше устройство подключалось к группе серверов второго уровня, связь с которыми шифровалась посредством сертификата x.509.

Исследователи смогли обнулить узлы C2 и заблокировать трафик через прокси-серверы, пишет Techspot.