En ny, bemerkelsesverdig sofistikert skadelig programvare angriper rutere

Router Hacks Security GettyImages 1264656210


En uvanlig avansert hacking group har brukt nesten to år på å infisere et bredt spekter av rutere i Nord-Amerika og Europa med skadelig programvare som tar full kontroll over tilkoblede enheter som kjører Home windows, macOS og Linux, rapporterte forskere 28. juni.

Så langt sier forskere fra Lumen Applied sciences ‘Black Lotus Labs at de har identifisert minst 80 mål infisert av den skjulte skadelige programvaren, inkludert rutere laget av Cisco, Netgear, Asus og DrayTek. Kalt ZuoRAT, fjerntilgangstrojaneren er en del av en bredere hackingkampanje som har eksistert siden minst fjerde kvartal 2020 og fortsetter å operere.

Et høyt nivå av raffinement

Oppdagelsen av spesialbygd skadelig programvare skrevet for MIPS-arkitekturen og kompilert for småkontorer og hjemmekontorrutere er betydelig, spesielt gitt dens rekkevidde av muligheter. Dens evne til å telle opp alle enheter koblet til en infisert ruter og samle DNS-oppslag og nettverkstrafikk de sender og mottar og forblir uoppdaget, er kjennetegnet til en svært sofistikert trusselaktør.

“Selv om det ikke er en ny teknikk å kompromittere SOHO-rutere som en tilgangsvektor for å få tilgang til et tilstøtende LAN, har det sjelden blitt rapportert,” skrev Black Lotus Labs-forskere. “Tilsvarende er rapporter om person-in-the-middle-angrep, som DNS- og HTTP-kapring, enda sjeldnere og et tegn på en kompleks og målrettet operasjon. Bruken av disse to teknikkene demonstrerte kongruent et høyt sofistikert nivå av en trusselaktør, noe som indikerer at denne kampanjen muligens ble utført av en statsstøttet organisasjon.”

Kampanjen består av minst fireplace deler av skadelig programvare, tre av dem skrevet fra bunnen av av trusselaktøren. Det første stykket er den MIPS-baserte ZuoRAT, som ligner mye på Mirai internett-of-things malware som oppnådde rekordstore distribuerte denial-of-service angrep som lammet enkelte Internett-tjenester i flere dager. ZuoRAT blir ofte installert ved å utnytte uopprettede sårbarheter i SOHO-enheter.

Når den er installert, teller ZuoRAT opp enhetene som er koblet til den infiserte ruteren. Trusselaktøren kan deretter bruke DNS-kapring og HTTP-kapring for å få de tilkoblede enhetene til å installere annen skadelig programvare. To av disse skadevaredelene – kalt CBeacon og GoBeacon – er skreddersydde, med den første skrevet for Home windows i C++ og sistnevnte skrevet i Go for krysskompilering på Linux- og macOS-enheter. For fleksibilitet kan ZuoRAT også infisere tilkoblede enheter med det mye brukte hackingverktøyet Cobalt Strike.

ZuoRAT kan pivotere infeksjoner til tilkoblede enheter ved å bruke en av to metoder:

  • DNS-kapring, som erstatter de gyldige IP-adressene som tilsvarer et domene som Google eller Fb med et ondsinnet domene som drives av angriperen.
  • HTTP-kapring, der skadelig programvare setter seg inn i forbindelsen for å generere en 302-feil som omdirigerer brukeren til en annen IP-adresse.

Med vilje kompleks

Black Lotus Labs sa at kommando-og-kontroll-infrastrukturen som brukes i kampanjen er med vilje kompleks i et forsøk på å skjule hva som skjer. Ett sett med infrastruktur brukes til å kontrollere infiserte rutere, og et annet er reservert for de tilkoblede enhetene hvis de senere blir infisert.

Forskerne observerte rutere fra 23 IP-adresser med en vedvarende tilkobling til en kontrollserver som de tror utførte en første undersøkelse for å finne ut om målene var av interesse. En undergruppe av disse 23 ruterne samhandlet senere med en Taiwan-basert proxy-server i tre måneder. Et ytterligere undersett av rutere roterte til en Canada-basert proxy-server for å tilsløre angriperens infrastruktur.

admin

Leave a Reply

Your email address will not be published.