Ботнетот AryStinger зарази илјадници D-Link рутери ширум светот

Претходно недокументиран малициозен ботнет наречен AryStinger компромитирал повеќе од 4.000 застарени рутери со цел да ги претвори во прокси-сервери за злонамерен мрежен сообраќај.

Истражувачите од тимот за разузнавање на закани XLab при компанијата Qianxin велат дека малициозниот софтвер ги претвора заразените уреди во далечински контролирани „извршители“ (executors) кои можат да вршат скенирање, проксирање, тунелирање, извршување команди и други активности во име на напаѓачот.

„Напаѓачот може да подели масовна задача за скенирање на повеќе мали делови и да ги распределува на различни извршители за паралелно извршување“, наведуваат истражувачите од XLab.

„Со овој дистрибуиран дизајн, напаѓачот може ефикасно да ги спроведе почетните активности за собирање информации за целта (footprinting), со што се обезбедува поголема сигурност за непречено и успешно спроведување на последователните операции за упад.“

Покрај користењето на компромитираните рутери како отскочна точка за злонамерни операции, XLab предупредува дека малициозниот софтвер може и да ги менува DNS-поставките, пренасочувајќи го корисничкото прелистување на интернет, како и тивко да го следи и потенцијално да го краде целиот дојдовен и појдовен мрежен сообраќај.

AryStinger ги искористува постарите ранливости CVE-2013-3307, CVE-2016-5681 и CVE-2025-11837, при што главно ги таргетира рутерите D-Link DIR-850L и D-Link DIR-818LW.

Овие два модела рутери претходно беа цел на ботнет-малициозниот софтвер AVrecon, кој беше нарушен и неутрализиран од телекомуникацискиот провајдер Lumen Technologies во 2023 година.

Телеметриските податоци на Qianxin покажуваат дека речиси половина од сите инфекции се лоцирани во South Korea (48,5%), по што следуваат China (31,8%), Sweden (6,4%), Malaysia (3,5%) и Singapore (2,5%).

Истражувачите од XLab откриле две варијанти на малициозниот софтвер AryStinger:

• Верзија напишана на C – главно насочена кон застарени рутери.
• Верзија напишана на Go – насочена кон NAS (Network Attached Storage) системи, но засега со значително помал опсег на инфекции.

Ова укажува дека операторите на AryStinger постепено го прошируваат својот опсег на цели, од стари мрежни уреди кон други видови инф

NAS-верзијата на AryStinger е понапредна од двете варијанти и поседува дополнителни можности, како што се скенирање на IP-адреси и DNS-сервери, извршување команди, извршување дополнителен малициозен код (payload) и извидување на внатрешни мрежи преку интеграција на алатки со отворен код за пенетрационо тестирање.

Истражувачите забележуваат дека дистрибуираната инфраструктура на AryStinger за DNS-скенирање потенцијално би можела да се пренамени за генерирање голем број DNS-барања кон DNS-резолвери, иако досега не биле забележани такви напади.

Во однос на можностите за извршување код кај NAS-верзијата, XLab наведува дека постои поддршка за:

• Shell-команди
• Go изворен код
• Java изворен код
• Python изворен код

Сепак, користењето изворен код наместо веќе компајлирани извршни датотеки има одредени ограничувања. Компилацијата бара присуство на соодветни програмски околини (runtimes) на целниот систем, а самиот процес создава дополнителни активности што можат да ја нарушат прикриеноста на малициозниот софтвер и да го направат полесно забележлив.

Истражувачите не успеале да го поврзат AryStinger со ниту една позната хакерска група или кластер на активности, наведувајќи дека „многу мистерии околу AryStinger сè уште остануваат нерешени“.

Сопствениците на рутери кои достигнале крај на животниот циклус (End-of-Life – EoL) треба:

• да ги заменат со понови модели што сè уште добиваат безбедносна поддршка;
• да ги инсталираат најновите достапни ажурирања на фирмверот;
• да ја сменат стандардната лозинка на администраторската сметка;
• да го оневозможат далечинското управување (remote management) доколку не е неопходно.

Овие мерки значително го намалуваат ризикот од компромитирање на уредите и нивно вклучување во ботнет-мрежи како AryStinger.

Извори:

• Bleeping Computer – AryStinger botnet infected thousands of D-Link routers worldwide Bleeping Computer