Μια νέα καμπάνια κακόβουλου λογισμικού, γνωστή ως "Hiatus", στοχεύει δρομολογητές μικρών επιχειρήσεων για την κλοπή δεδομένων και την κατασκοπεία των θυμάτων.
Νέα καμπάνια κακόβουλου λογισμικού "Hiatus" επιτίθεται σε δρομολογητές επιχειρήσεων
Μια νέα καμπάνια κακόβουλου λογισμικού, που ονομάζεται "Hiatus" στοχεύει δρομολογητές μικρών επιχειρήσεων που χρησιμοποιούν κακόβουλο λογισμικό HiatiusRAT.
Στις 6 Μαρτίου 2023, η ερευνητική εταιρεία Lumen δημοσίευσε μια ανάρτηση ιστολογίου που συζητούσε αυτήν την κακόβουλη εκστρατεία. Στο Ανάρτηση ιστολογίου Lumen, δηλώθηκε ότι "Το Lumen Black Lotus Labs® εντόπισε μια άλλη, που ποτέ δεν είχε ξαναδεί καμπάνια που αφορούσε παραβιασμένους δρομολογητές."
Το HiatusRAT είναι ένας τύπος κακόβουλου λογισμικού γνωστό ως α Remote Access Trojan (RAT). Τα Trojan Remote Access χρησιμοποιούνται από εγκληματίες του κυβερνοχώρου για να αποκτήσουν απομακρυσμένη πρόσβαση και έλεγχο μιας στοχευμένης συσκευής. Η πιο πρόσφατη έκδοση του κακόβουλου λογισμικού HiatusRAT φαίνεται να χρησιμοποιείται από τον Ιούλιο του 2022.
Στην ανάρτηση ιστολογίου Lumen, αναφέρθηκε επίσης ότι "Το HiatusRAT επιτρέπει στον παράγοντα απειλής να αλληλεπιδρά εξ αποστάσεως με το σύστημα και αυτό χρησιμοποιεί προκατασκευασμένη λειτουργικότητα – μερικές από τις οποίες είναι εξαιρετικά ασυνήθιστες – για να μετατρέψει το παραβιασμένο μηχάνημα σε ένα μυστικό διακομιστή μεσολάβησης για το ηθοποιός απειλών».
Χρησιμοποιώντας το βοηθητικό πρόγραμμα γραμμής εντολών "tcpdump"., το HiatusRAT μπορεί να συλλάβει την κίνηση του δικτύου που περνά πάνω από τον στοχευμένο δρομολογητή, επιτρέποντας την κλοπή δεδομένων. Ο Lumen υπέθεσε επίσης ότι οι κακόβουλοι χειριστές που εμπλέκονται σε αυτήν την επίθεση στοχεύουν να δημιουργήσουν ένα μυστικό δίκτυο μεσολάβησης μέσω της επίθεσης.
Το HiatusRAT στοχεύει συγκεκριμένα είδη δρομολογητών
Το κακόβουλο λογισμικό HiatusRAT χρησιμοποιείται για να επιτεθεί στους δρομολογητές VPN DrayTek Vigor στο τέλος της ζωής τους, συγκεκριμένα στα μοντέλα 2690 και 3900 που διαθέτουν αρχιτεκτονική i386. Αυτοί είναι δρομολογητές υψηλού εύρους ζώνης που χρησιμοποιούνται από επιχειρήσεις για να παρέχουν υποστήριξη VPN σε απομακρυσμένους εργαζόμενους.
Αυτά τα μοντέλα δρομολογητών χρησιμοποιούνται συνήθως από ιδιοκτήτες επιχειρήσεων μικρού έως μεσαίου μεγέθους, οι οποίοι διατρέχουν ιδιαίτερο κίνδυνο να στοχοποιηθούν σε αυτήν την καμπάνια. Οι ερευνητές δεν γνωρίζουν πώς διείσδυσαν αυτοί οι δρομολογητές DrayTek Vigor τη στιγμή της συγγραφής.
Πάνω από 4.000 μηχανήματα βρέθηκαν ευάλωτα σε αυτήν την εκστρατεία κακόβουλου λογισμικού στα μέσα Φεβρουαρίου, πράγμα που σημαίνει ότι πολλές επιχειρήσεις εξακολουθούν να διατρέχουν κίνδυνο επίθεσης.
Οι εισβολείς στοχεύουν μόνο λίγους δρομολογητές DrayTek
Από όλους τους δρομολογητές DrayTek 2690 και 3900 που είναι συνδεδεμένοι στο διαδίκτυο σήμερα, το Lumen ανέφερε ποσοστό μόλυνσης μόλις 2 τοις εκατό.
Αυτό δείχνει ότι οι κακόβουλοι χειριστές προσπαθούν να διατηρήσουν το ψηφιακό τους αποτύπωμα στο ελάχιστο για να περιορίσουν την έκθεση και να αποφύγουν τον εντοπισμό. Ο Lumen πρότεινε επίσης στην προαναφερθείσα ανάρτηση ιστολογίου ότι αυτή η τακτική χρησιμοποιείται επίσης από τους επιτιθέμενους για να "διατηρήσουν κρίσιμα σημεία παρουσίας".
Το HiatusRAT Ενέχει έναν συνεχή κίνδυνο
Τη στιγμή της γραφής, το HiatusRAT αποτελεί κίνδυνο για πολλές μικρές επιχειρήσεις, με χιλιάδες δρομολογητές να εξακολουθούν να εκτίθενται σε αυτό το κακόβουλο λογισμικό. Ο χρόνος θα δείξει πόσοι δρομολογητές DrayTek στοχεύονται με επιτυχία σε αυτήν την κακόβουλη καμπάνια.
