Нововиявлений ботнет AryStinger, що використовує понад 4000 застарілих маршрутизаторів як проксі для шкідливого трафіку, становить серйозну загрозу кібербезпеці, перетворюючи вразливі пристрої на інструменти для здійснення різноманітних атак. Ця шкідлива програма, виявлена дослідницькою командою Qianxin XLab, здатна виконувати складні завдання, такі як сканування мереж, проксіювання трафіку, тунелювання даних та віддалене виконання команд, що значно полегшує зловмисникам початкові етапи проникнення та підвищує шанси на успішне захоплення контролю над системами.
AryStinger: багатогранна загроза для мережевої безпеки
Функціональні можливості та механізми дії
- Ботнет AryStinger здатен розділяти масштабні завдання на менші частини, розподіляючи їх між зараженими маршрутизаторами для паралельного виконання, що підвищує ефективність атак.
- Окрім перетворення пристроїв на відправні точки для атак, AryStinger може змінювати налаштування DNS, перенаправляти трафік користувачів, а також непомітно відстежувати та потенційно викрадати конфіденційні дані.
- Шкідливе програмне забезпечення експлуатує відомі вразливості, зокрема CVE-2013-3307, CVE-2016-5681 та CVE-2025-11837, спрямовуючи свої атаки переважно на моделі маршрутизаторів D-Link DIR-850L та DIR-818LW.
- Цікаво, що ці ж моделі маршрутизаторів раніше вже ставали мішенню іншого ботнету — AVrecon, діяльність якого була припинена компанією Lumen у 2023 році, що свідчить про тривалу вразливість певних пристроїв.
Географічне поширення та версії ботнету
- Згідно з даними телеметрії Qianxin, найбільша кількість заражень зафіксована у Південній Кореї (48,5%), за якою йдуть Китай (31,8%), Швеція (6,4%), Малайзія (3,5%) та Сінгапур (2,5%), що вказує на глобальний характер загрози.
- Дослідники виявили дві основні версії AryStinger: одна написана на мові C і орієнтована на застарілі маршрутизатори, а інша, створена на базі Go (Golang), націлена на системи NAS (мережеві сховища даних).
- Версія на базі Go має розширений функціонал, включаючи сканування IP та DNS, виконання команд, завантаження шкідливих програм та розвідку внутрішніх мереж, проте наразі її охоплення значно обмеженіше порівняно з C-варіантом.
“На даний момент AryStinger не пов’язують із жодною відомою хакерською групою, однак дослідники наголошують, що багато аспектів діяльності цього ботнету залишаються невідомими.”
Рекомендації для користувачів
Власникам маршрутизаторів, чиї пристрої більше не підтримуються виробником, наполегливо рекомендується замінити їх на сучасні моделі, що забезпечить кращий захист від новітніх загроз. Крім того, критично важливо встановлювати останні доступні оновлення прошивки, змінювати стандартні паролі адміністратора на складні та унікальні, а також вимикати віддалені панелі керування, які можуть стати легкою мішенню для зловмисників.
