Il malware AVrecon ha infettato 70 mila router per Linux, per costruire una botnet.
“La botnet AVrecon è estremamente insidiosa per diversi fattori”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “in primis la capacità degli operatori di restare nell’ombra per ben due anni pur compromettendo diverse decine di migliaia di dispositivi”.
Infatti, “il tipo di target, il periodo durante il quale è rimasto nascosto e la grandezza della botnet”, aggiunge Giuseppe Dongu, Head of Swascan Cybersecurity Team, “rendono estremamente insidioso questo malware, perché permette agli attaccanti di nascondersi all’interno di piccole reti, anche domestiche, confidando nella minore capacità di rilevamento e nella più alta probabilità di trovare dispositivi vulnerabili, mettendo a rischio i dati delle vittime, ma soprattutto utilizzando quelle reti come sorgenti di attacchi su più ampia scala verso target più importanti, apparendo, di fatto, utenti casalinghi o di piccoli uffici”. Ecco come proteggersi.
Indice degli argomenti
La botnet AVrecon
A maggio 2021, i cyber criminali ha utilizzato un malware Linux chiamato AVrecon per infettare oltre 70 mila router SOHO (Small Office/Home Office). Tutti basati su Linux in una botnet progettata per rubare banda ed offrire un servizio proxy residenziale nascosto. Ciò permette agli operatori di nascondere un ampio spettro di attività malevole, dalle frodi legate alle pubblicità digitali al password spraying.
“La botnet utilizza un’architettura multilivello di comando e controllo”, continua Paganini, “che ne conferisce caratteristiche di evasività e di resilienza ad eventuali takedown operati da forze dell’ordine”. Inoltre, “la scelta del linguaggio di programmazione C consente agli autori di sviluppare un codice malevolo in grado di poter attaccare piattaforme con diverse architetture, conferendo ad AVrecon grande versatilità e ampliando la platea di potenziali dispositivi da attaccare”.
Secondo il team di ricerca sulle minacce dei Black Lotus Labs di Lumen, mentre il trojan di accesso remoto (RAT) AVrecon ha compromesso oltre 70 mila dispositivi, solo 40 mila sono stati aggiunti alla botnet dopo aver raggiunto la persistenza.
I dettagli
“AVrecon rappresenta, senza dubbio, un’evoluzione preoccupante del mondo delle botnet. Il suo focus su device con capacità più limitate, ma con diffusione capillare all’interno di case e piccoli uffici lo rende potenzialmente più difficile da rilevare ed eradicare”, spiega Pierguido Iezzi, CEO di Swascan.
“Ma questa botnet – mette in evidenza Iezzi – è interessante anche da un altro punto di vista: testimonia, infatti, come i Criminal Hacker siano attenti a tendenze e possibili trend da ‘cavalcare’. Probabilmente il proliferare di Smart working e home office, continuato anche dopo il periodo pandemico ha influito sulla decisione di sviluppare questo tipo di malware”.
Come mitigare il rischio
“Se aggiungiamo il fatto che questo tipo di botnet prende di mira infrastrutture periferiche solitamente non sono supportate da soluzioni di sicurezza, il quadro si fa ancora più preoccupante, in particolare quando si parla di potenziali furti di credenziali e informazioni sensibili. Non a caso, come verrà esplicitato nel prossimo report Threatland sul secondo trimestre 2023, il Soc Team Swascan ha rintracciato quasi 200mila credenziali di utenti italiani messe in vendita negli ultimi 3 mesi all’interno di portali dark web”.
“L’uso della crittografia ci impedisce di commentare i risultati dei tentativi di password spraying. Tuttavia, tramite null-routed dei nodi di comando e controllo (C2) e impedendo il traffico attraverso i server proxy, ciò ha reso la botnet inerte attraverso la dorsale Lumen”, ha dichiarato Black Lotus Labs.
“I difensori devono essere consapevoli del fatto che tali attività malevole possono avere origine da quello che sembra essere un indirizzo IP residenziale in un Paese diverso da quello di origine reale, e il traffico proveniente da indirizzi IP compromessi eluderà le regole del firewall come il geofencing e il blocco basato su ASN”, conclude Black Lotus Labs..
