Нова кампания за зловреден софтуер, известна като „Hiatus“, е насочена към малки бизнес рутери за кражба на данни и шпиониране на жертвите.
Нова кампания за злонамерен софтуер „Hiatus“ атакува бизнес рутери
Нова кампания за злонамерен софтуер, наречена „Hiatus“, е насочена към малки бизнес рутери, използващи злонамерен софтуер HiatiusRAT.
На 6 март 2023 г. изследователската фирма Lumen публикува публикация в блог, в която се обсъжда тази злонамерена кампания. В Публикация в блога на Lumen, беше заявено, че "Lumen Black Lotus Labs® идентифицира друга, невиждана досега кампания, включваща компрометирани рутери."
HiatusRAT е вид зловреден софтуер, известен като a Троянски кон за отдалечен достъп (RAT). Троянските коне за отдалечен достъп се използват от киберпрестъпниците, за да получат отдалечен достъп и контрол на целево устройство. Най-новата версия на злонамерения софтуер HiatusRAT изглежда се използва от юли 2022 г.
В публикацията в блога на Lumen беше посочено също, че „HiatusRAT позволява на заплахата да взаимодейства дистанционно със системата и използва предварително изградена функционалност – някои от които са много необичайни – за преобразуване на компрометираната машина в скрит прокси за заплашителен актьор."
Използване на помощната програма за команден ред "tcpdump"., HiatusRAT може да улови мрежовия трафик, преминаващ през целевия рутер, позволявайки кражба на данни. Lumen също спекулира, че злонамерените оператори, участващи в тази атака, целят да създадат скрита прокси мрежа чрез атаката.
HiatusRAT е насочен към конкретни видове рутери
Злонамереният софтуер HiatusRAT се използва за атака на излезлите от употреба VPN рутери DrayTek Vigor, по-специално моделите 2690 и 3900, работещи с i386 архитектура. Това са рутери с висока честотна лента, използвани от фирмите за предоставяне на VPN поддръжка на отдалечени работници.
Тези модели рутери обикновено се използват от собственици на малък и среден бизнес, които са изложени на особен риск да бъдат насочени към тази кампания. Изследователите не знаят как тези рутери DrayTek Vigor са били проникнати по време на писането.
В средата на февруари беше установено, че над 4000 машини са уязвими към тази кампания със зловреден софтуер, което означава, че много фирми все още са изложени на риск от атака.
Нападателите са насочени само към няколко рутера DrayTek
От всички рутери DrayTek 2690 и 3900, свързани към интернет днес, Lumen отчете процент на заразяване от само 2 процента.
Това показва, че злонамерените оператори се опитват да запазят своя цифров отпечатък минимален, за да ограничат излагането и да избегнат откриването. Lumen също предложи в гореспоменатата публикация в блога, че тази тактика се използва и от нападателите за „поддържане на критични точки на присъствие“.
HiatusRAT представлява постоянен риск
Към момента на писане HiatusRAT представлява риск за много малки предприятия, като хиляди рутери все още са изложени на този зловреден софтуер. Времето ще покаже колко маршрутизатори DrayTek са успешно атакувани в тази злонамерена кампания.