Nova kampanja zlonamjernog softvera, poznata kao "Hiatus", usmjerena je na male poslovne usmjerivače za krađu podataka i špijuniranje žrtava.
Nova "Hiatus" kampanja zlonamjernog softvera napada poslovne usmjerivače
Nova kampanja zlonamjernog softvera, nazvana "Hiatus" cilja na male poslovne usmjerivače koji koriste HiatiusRAT zlonamjerni softver.
6. ožujka 2023. istraživačka tvrtka Lumen objavila je post na blogu u kojem se raspravlja o ovoj zlonamjernoj kampanji. u Lumen post na blogu, navedeno je da je "Lumen Black Lotus Labs® identificirao još jednu, nikad prije viđenu kampanju koja uključuje kompromitirane usmjerivače."
HiatusRAT je vrsta zlonamjernog softvera poznata kao a Trojanac za udaljeni pristup (RAT). Trojance za daljinski pristup kibernetički kriminalci koriste za daljinski pristup i kontrolu nad ciljanim uređajem. Čini se da je najnovija verzija zlonamjernog softvera HiatusRAT u upotrebi od srpnja 2022.
U postu na blogu Lumen također je navedeno da "HiatusRAT omogućuje akteru prijetnje daljinsku interakciju sa sustavom, a on koristi unaprijed izgrađene funkcije – od kojih su neke vrlo neobične – za pretvaranje kompromitiranog stroja u tajni proxy za akter prijetnje."
Korištenje uslužnog programa naredbenog retka "tcpdump"., HiatusRAT može uhvatiti mrežni promet koji prolazi preko ciljanog usmjerivača, omogućujući krađu podataka. Lumen je također nagađao da zlonamjerni operateri uključeni u ovaj napad imaju za cilj postaviti tajnu proxy mrežu putem napada.
HiatusRAT cilja na određene vrste usmjerivača
Zlonamjerni softver HiatusRAT koristi se za napad na DrayTek Vigor VPN usmjerivače na kraju životnog vijeka, posebno na modele 2690 i 3900 koji pokreću i386 arhitekturu. Ovo su usmjerivači velike propusnosti koje tvrtke koriste za pružanje VPN podrške udaljenim radnicima.
Ove modele usmjerivača obično koriste vlasnici malih i srednjih tvrtki, koji su u posebnoj opasnosti da budu ciljani u ovoj kampanji. Istraživači ne znaju kako su ti DrayTek Vigor usmjerivači infiltrirani u vrijeme pisanja.
Utvrđeno je da je sredinom veljače više od 4000 strojeva ranjivo na ovu kampanju zlonamjernog softvera, što znači da su mnoge tvrtke još uvijek u opasnosti od napada.
Napadači ciljaju samo nekoliko DrayTek usmjerivača
Od svih DrayTek 2690 i 3900 usmjerivača danas povezanih na internet, Lumen je izvijestio o stopi infekcije od samo 2 posto.
To znači da zlonamjerni operateri pokušavaju zadržati svoj digitalni otisak na minimumu kako bi ograničili izloženost i izbjegli otkrivanje. Lumen je također sugerirao u gore spomenutoj objavi na blogu da ovu taktiku također koriste napadači za "održavanje kritičnih točaka prisutnosti".
HiatusRAT predstavlja trajni rizik
U vrijeme pisanja HiatusRAT predstavlja rizik za mnoge male tvrtke, s tisućama usmjerivača koji su još uvijek izloženi ovom zlonamjernom softveru. Vrijeme će pokazati koliko je DrayTek routera uspješno ciljano u ovoj zlonamjernoj kampanji.