CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

O gamă largă de routere este atacată de un nou tip de malware

Un grup de hackeri a petrecut aproape doi ani infectând o gamă largă de routere din America de Nord și Europa cu un malware care preia controlul total asupra dispozitivelor conectate și care rulează un sistem de operare Windows, macOS și Linux.

Până în prezent, specialiștii de la Lumen Technologies’ Black Lotus Labs spun că au identificat cel puțin 80 de ținte infectate de malware, infectând routerele produse de Cisco, Netgear, Asus și DrayTek. Supranumit ZuoRAT, malware-ul face parte dintr-o campanie de hacking mai amplă care există cel puțin din al patrulea trimestru al anului 2020 și care continuă să acționeze.

Descoperirea de programe malware personalizate, scrise pentru arhitectura MIPS și compilate pentru routere de birou și de casă, este semnificativă, în special având în vedere gama de capabilități. Capacitatea sa de a enumera toate dispozitivele conectate la un router infectat și de a colecta interogările DNS și traficul de rețea pe care acestea le trimit și le primesc, fără a fi detectat, este specifică unui atacator experimentat.

Compromiterea routerelor SOHO și folosirea ca vector de acces pentru a obține acces la o rețea locală adiacentă nu este o tehnică nouă.  Rapoartele privind atacurile de tip „person-in-the-middle”, cum ar fi DNS și HTTP hijacking, sunt tot mai rare.

Campania cuprinde cel puțin patru programe malware, trei dintre ele fiind scrise de la zero de către atacatori. Primul program este ZuoRAT, bazat pe MIPS, care seamănă foarte mult cu malware-ul Mirai Internet of Things, care a realizat atacuri de tip distributed denial-of-service care au afectat unele servicii de internet timp de mai multe zile. ZuoRAT se instalează adesea prin exploatarea unor vulnerabilități neactualizate în dispozitive SOHO.

Odată instalat, ZuoRAT enumeră dispozitivele conectate la routerul infectat. Atacatorul poate folosi apoi DNS și HTTP hijacking astfel încât dispozitivele conectate să instaleze alte programe malware. Două dintre aceste programe malware – denumite CBeacon și GoBeacon – sunt create personalizat, primul fiind scris pentru Windows în C++, iar cel de-al doilea în Go pentru compilare pe dispozitive Linux și macOS. ZuoRAT poate infecta, de asemenea, dispozitivele conectate cu tool-ul Cobalt Strike.

Cercetătorii au observat routere de la 23 de adrese IP cu o conexiune persistentă la un server de control despre care ei cred că efectua un studiu inițial pentru a determina dacă țintele prezintă interes. Un subset din aceste 23 de routere a interacționat ulterior cu un server proxy cu sediul în Taiwan timp de trei luni. Un alt subset de routere s-a rotit către un server proxy cu sediul în Canada pentru a ascunde infrastructura atacatorului.

La fel ca majoritatea programelor malware pentru routere, ZuoRAT nu mai este disponibil după reboot. Simpla repornire a unui dispozitiv infectat va elimina exploatarea inițială a ZuoRAT, constând în fișiere stocate într-un director temporar. Totuși, pentru a se recupera complet, dispozitivele infectate trebuie resetate din fabrică.

Sursă: https://arstechnica.com/information-technology/2022/06/a-wide-range-of-routers-are-under-attack-by-new-unusually-sophisticated-malware/

Autor

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică