Понад 4000 роутерів D-Link заражені новим ботнетом AryStinger

Фахівці з кібербезпеки з дослідницької групи Qianxin XLab зафіксували хвилю заражень новим шкідливим програмним забезпеченням під назвою ботнет AryStinger. За наявними даними, загроза вже інфікувала понад 4 000 застарілих маршрутизаторів користувача по всьому світу, перетворивши вразливе мережеве обладнання на проксі-сервери для пропуску небажаного хакерського інтернет-трафіку.

Виявлене дослідниками шкідливе ПЗ є продуманим деструктивним засобом. Розробники ботнету AryStinger навчили свою систему грамотно дробити ресурсомісткі мережеві завдання на дрібні обчислювальні завдання та динамічно перерозподіляти їх між безліччю зламаних роутерів для паралельної обробки. Такий оптимізований підхід дає хакерам відчутну перевагу на перших етапах мережного проникнення та помітно підвищує шанси на вдалий злам інфраструктурних систем.

Окрім звичної організації мережі транзитних проксі-вузлів, шкідливий софт також здатний таємно перевизначати конфігурації DNS-адрес. За рахунок контролю та спотворення DNS ботнет може нав’язувати підроблені веб-адреси, перенаправляти мережні запити людей, а також беззвучно відстежувати і красти будь-яку чутливу інформацію користувача з потоків вхідного та вихідного трафіку.

Характеристики масштабу розповсюдження мережі

Відповідно до отриманої експертами системної телеметрії, масштаби розгортання мережі досить великі і торкаються безлічі географічних точок, а пікова кількість успішних пробитий було зафіксовано біля Азії та деяких європейських держав.

Статистика зараження ботнетом по різних країнах:

• Південна Корея – 48,5%
• Китай – 31,8%
• Швеція – 6,4%
• Малайзія – 3,5%
• Сінгапур – 2,5%

Уразливості для AryStinger

Інвазія в мережеві компоненти складає основі давно відомих проломів програмного забезпечення. Зловмисники задіятимуть старі вразливості систем безпеки, включаючи CVE-2013-3307, CVE-2016-5681, а також актуальніший запис CVE-2025-11837.

Вектори злому цілком зорієнтовані застарілі модифікації побутових маршрутизаторів, а саме на моделі D-Link DIR-850L і DIR-818LW. Цікаво, що згадані версії роутерів ще в 2023 році активно піддавалися злому аналогічним софтом під брендом AVrecon, нейтралізувати інфраструктуру якого силовики отримали спільні зусилля ІТ-компанії Lumen.

Модифікації ПЗ: C vs Go

Дослідники виявили істотну варіативність інструментів AryStinger, виявивши роботу одночасно двох автономних типів архітектури:

• Легковаговий C-варіант: призначений для простих роутерів користувача, на які припадає основний шквал проникнень через обмежені потужності самих пристроїв. Він швидко займає девайси D-Link DIR-родини.
• Складна Go-модифікація (Golang): зорієнтована на просунуті системи мережевих накопичувачів (NAS). Відрізняється збільшеним пулом дій, зокрема комплексним аналізом внутрішньої корпоративної мережі за рахунок опенсорсних інструментів тестерів.

Найбільший за розміром Go-варіант містить вбудовані можливості для розгортання мов Java, Go та скриптів Python безпосередньо в Shell. З іншого боку, виконання саме вихідних скриптових файлів, а не легких скомпілованих бінарних файлів ускладнює виконання і виробляє сторонній мережевий “шум”, яким сучасні програмні монітори набагато швидше обчислюють кібератаку.

Захисні заходи

Щоб уникнути подібної атаки, рекомендується вжити таких захисних заходів:

• Якщо пристрій давно вийшов із фази оновлень розробника, раціональніше змінити маршрутизатор на свіжу сучасну модель;
• Обновити системну ОС та мікрокод на доступних підтримуваних моделях D-Link;
• Не залишати пароль облікового запису заводського адміністрування за промовчанням;
• Повністю відключити WAN-панель зовнішнього віддаленого керування роутера в конфігурації пристрою.