Οι ερευνητές λένε ότι το Trojan ZuoRAT απομακρυσμένης πρόσβασης έχει μολύνει τουλάχιστον 80 διαφορετικούς στόχους. Μια ασυνήθιστα προχωρημένη ομάδα χάκερ έχει περάσει σχεδόν δύο χρόνια μολύνοντας ένα ευρύ φάσμα ρούτερ στη Βόρεια Αμερική και την Ευρώπη με κακόβουλο λογισμικό που αναλαμβάνει τον πλήρη έλεγχο των συνδεδεμένων συσκευών με Windows, macOS και Linux, ανέφεραν ερευνητές στις 28 Ιουνίου.
Αυτή η είδηση εμφανίστηκε αρχικά στο Ars Technica, μια αξιόπιστη πηγή για τεχνολογικά νέα, ανάλυση τεχνολογικής πολιτικής, κριτικές και πολλά άλλα. Η Ars ανήκει στη μητρική εταιρεία του WIRED, την Condé Nast.
Μέχρι στιγμής, ερευνητές από τα εργαστήρια Black Lotus της Lumen Technologies λένε ότι έχουν εντοπίσει τουλάχιστον 80 στόχους που έχουν μολυνθεί από το κρυφό κακόβουλο λογισμικό, συμπεριλαμβανομένων των ρούτερ που κατασκευάζονται από τις Cisco, Netgear, Asus και DrayTek. Με το όνομα ZuoRAT, το Trojan απομακρυσμένης πρόσβασης αποτελεί μέρος μιας ευρύτερης εκστρατείας hacking που υπάρχει τουλάχιστον από το τέταρτο τρίμηνο του 2020 και συνεχίζει να λειτουργεί.
Υψηλό επίπεδο πολυπλοκότητας
Η ανακάλυψη προσαρμοσμένου κακόβουλου λογισμικού για δρομολογητές είναι σημαντική, ιδιαίτερα δεδομένου του εύρους των δυνατοτήτων του. Η ικανότητά του να απαριθμεί όλες τις συσκευές που είναι συνδεδεμένες σε έναν μολυσμένο δρομολογητή και να συλλέγει τις αναζητήσεις DNS και την κυκλοφορία δικτύου που στέλνουν και λαμβάνουν και παραμένουν απαρατήρητες είναι το χαρακτηριστικό ενός εξαιρετικά εξελιγμένου παράγοντα απειλής.
«Αν και ο συμβιβασμός των δρομολογητών SOHO ως φορέα πρόσβασης για την απόκτηση πρόσβασης σε ένα γειτονικό LAN δεν είναι μια νέα τεχνική, σπάνια έχει αναφερθεί», έγραψαν οι ερευνητές της Black Lotus Labs. “Ομοίως, οι αναφορές για επιθέσεις τύπου “person-in-the-middle style”, όπως η πειρατεία DNS και HTTP, είναι ακόμη πιο σπάνιες και αποτελούν ένδειξη περίπλοκης και στοχευμένης λειτουργίας. Η χρήση αυτών των δύο τεχνικών κατέδειξε ταυτόχρονα υψηλό επίπεδο πολυπλοκότητας από έναν παράγοντας απειλής, υποδεικνύοντας ότι αυτή η εκστρατεία διεξήχθη πιθανώς από έναν οργανισμό που χρηματοδοτείται από το κράτος».
Το ZuoRAT μπορεί να στρέψει τις μολύνσεις σε συνδεδεμένες συσκευές χρησιμοποιώντας μία από τις δύο μεθόδους:
Παραβίαση DNS, η οποία αντικαθιστά τις έγκυρες διευθύνσεις IP που αντιστοιχούν σε έναν τομέα όπως το Google ή το Facebook με μια κακόβουλη διεύθυνση που λειτουργεί από τον εισβολέα.
Παραβίαση HTTP, κατά την οποία το κακόβουλο λογισμικό εισάγεται στη σύνδεση για να δημιουργήσει ένα σφάλμα 302 που ανακατευθύνει τον χρήστη σε διαφορετική διεύθυνση IP.
