Linux-Malware infiziert 70.000 Router
Einem Bericht des Black Lotus Labs Bedrohungsforschungsteams von Lumen zufolge wurde eine heimliche Linux-Malware namens AVrecon verwendet, um über 70.000 Linux-basierte Small Office/Home Office (SOHO)-Router zu infizieren.
Die Malware, die erstmals im Mai 2021 entdeckt wurde, ist darauf ausgelegt, Bandbreite zu stehlen und einen versteckten Proxy-Dienst für Privatanwender anzubieten. Dies ermöglicht es den Betreibern, ein breites Spektrum an bösartigen Aktivitäten zu verbergen, von digitalem Werbebetrug bis zum Ausspähen von Passwörtern.
Die Schadsoftware ist seit ihrer Entdeckung weitgehend unentdeckt geblieben. Dies liegt daran, dass sie auf SOHO-Router abzielt, die häufig nicht gegen gängige Sicherheitslücken gepatcht sind. Außerdem ist die Malware sehr unauffällig, und die Besitzer infizierter Computer bemerken nur selten eine Unterbrechung des Dienstes oder einen Bandbreitenverlust.
Sobald die Malware infiziert ist, sendet sie die Informationen des angegriffenen Routers an einen eingebetteten Command-and-Control-Server (C2). Nach der Kontaktaufnahme wird der gehackte Rechner angewiesen, die Kommunikation mit einer unabhängigen Gruppe von Servern, den sogenannten C2-Servern der zweiten Stufe, herzustellen.
Die Sicherheitsforscher fanden 15 solcher Kontrollserver der zweiten Stufe, die mindestens seit Oktober 2021 in Betrieb sind.
Lumens Black Lotus Sicherheitsteam begegnete der AVrecon-Bedrohung auch, indem es den Command-and-Control-Server (C2) des Botnets über das Backbone-Netzwerk des Unternehmens umleitete. Dadurch wurde die Verbindung zwischen dem bösartigen Botnet und seinem zentralen Kontrollserver unterbrochen und seine Fähigkeit, schädliche Aktivitäten auszuführen, erheblich beeinträchtigt.
Die Schwere dieser Bedrohung ergibt sich aus der Tatsache, dass SOHO-Router in der Regel außerhalb der Grenzen des konventionellen Sicherheitsbereichs liegen, was die Fähigkeit der Verteidiger, bösartige Aktivitäten zu erkennen, stark einschränkt.
Die chinesische Cyberspionage-Gruppe Volt Typhoon nutzte eine ähnliche Taktik, um ein verdecktes Proxy-Netzwerk aus gehackten ASUS-, Cisco-, D-Link-, Netgear-, FatPipe- und Zyxel-SOHO-Netzwerkgeräten aufzubauen, um ihre bösartigen Aktivitäten im legitimen Netzwerkverkehr zu verbergen.
"Bedrohungsakteure nutzen AVrecon als Proxy für den Datenverkehr und für bösartige Aktivitäten wie das Ausspähen von Passwörtern", sagt Michelle Lee, Threat Intelligence Director bei Lumen Black Lotus Labs. "Dies unterscheidet sich von den direkten Netzwerkangriffen, die wir bei unseren anderen Router-basierten Malware-Entdeckungen gesehen haben."
"Verteidiger sollten sich darüber im Klaren sein, dass solche böswilligen Aktivitäten von einer scheinbar privaten IP-Adresse in einem anderen Land als dem tatsächlichen Ursprungsland ausgehen können und dass der Datenverkehr von kompromittierten IP-Adressen Firewall-Regeln wie Geofencing und ASN-basierte Blockierung umgehen kann.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.