Nová kampaň proti malvéru, známa ako „Hiatus“, sa zameriava na smerovače malých podnikov s cieľom kradnúť dáta a špehovať obete.
Nová malvérová kampaň „Hiatus“ útočí na podnikové smerovače
Nová kampaň proti malvéru s názvom „Hiatus“ sa zameriava na smerovače malých podnikov, ktoré používajú malvér HiatiusRAT.
Dňa 6. marca 2023 zverejnila výskumná spoločnosť Lumen blogový príspevok, v ktorom sa diskutuje o tejto škodlivej kampani. V Príspevok na blogu Lumen, bolo uvedené, že "Lumen Black Lotus Labs® identifikovali ďalšiu, nikdy predtým nevidenú kampaň zahŕňajúcu napadnuté smerovače."
HiatusRAT je typ malvéru známy ako a Trójsky kôň so vzdialeným prístupom (RAT). Trójske kone s vzdialeným prístupom používajú počítačoví zločinci na získanie vzdialeného prístupu a kontroly nad cieľovým zariadením. Zdá sa, že najnovšia verzia škodlivého softvéru HiatusRAT sa používa od júla 2022.
V blogovom príspevku Lumen bolo tiež uvedené, že „HiatusRAT umožňuje aktérovi hrozby vzdialene interagovať so systémom a využíva predpripravené funkcie – niektoré z nich sú veľmi nezvyčajné – na konverziu napadnutého počítača na skrytý server proxy pre aktér hrozby."
Pomocou nástroja príkazového riadka "tcpdump".HiatusRAT dokáže zachytiť sieťový prenos prechádzajúci cez cieľový smerovač, čo umožňuje krádež údajov. Lumen tiež špekuloval, že zákerní operátori zapojení do tohto útoku majú za cieľ vytvoriť skrytú proxy sieť prostredníctvom útoku.
HiatusRAT sa zameriava na konkrétne druhy smerovačov
Malvér HiatusRAT sa používa na napadnutie smerovačov VPN DrayTek Vigor na konci životnosti, konkrétne na modely 2690 a 3900 s architektúrou i386. Ide o smerovače s veľkou šírkou pásma, ktoré podniky používajú na poskytovanie podpory VPN vzdialeným pracovníkom.
Tieto modely smerovačov bežne používajú majitelia malých a stredných podnikov, ktorým hrozí najmä riziko, že budú v tejto kampani zacielené. Výskumníci nevedia, ako boli tieto smerovače DrayTek Vigor infiltrované v čase písania.
V polovici februára sa zistilo, že viac ako 4 000 počítačov je zraniteľných voči tejto malvérovej kampani, čo znamená, že mnohým podnikom stále hrozí útok.
Útočníci sa zameriavajú iba na niekoľko smerovačov DrayTek
Zo všetkých smerovačov DrayTek 2690 a 3900, ktoré sú dnes pripojené k internetu, Lumen hlásil mieru infekcie len 2 percentá.
To naznačuje, že zlomyseľní operátori sa snažia udržať svoju digitálnu stopu na minime, aby obmedzili vystavenie a vyhli sa detekcii. Lumen vo vyššie uvedenom blogovom príspevku tiež naznačil, že túto taktiku využívajú aj útočníci na „udržiavanie kritických bodov prítomnosti“.
HiatusRAT predstavuje trvalé riziko
V čase písania tohto článku predstavuje HiatusRAT riziko pre mnohé malé podniky, pričom tisíce smerovačov sú stále vystavené tomuto malvéru. Čas ukáže, koľko routerov DrayTek je úspešne zameraných v tejto zákernej kampani.