A „Hiatus” néven ismert új rosszindulatú programkampány a kisvállalkozási útválasztókat célozza meg, hogy adatokat lopjanak és kémkedjenek az áldozatok után.
Új „Hiatus” rosszindulatú programkampány támadja meg az üzleti útválasztókat
A „Hiatus” névre keresztelt új rosszindulatú programkampány a HiatiusRAT kártevőt használó kisvállalkozási útválasztókat célozza meg.
2023. március 6-án a Lumen kutatócég blogbejegyzést tett közzé erről a rosszindulatú kampányról. Ban,-ben Lumen blogbejegyzés, azt állították, hogy "A Lumen Black Lotus Labs® egy másik, soha nem látott kampányt azonosított, amely kompromittált útválasztókat érintett."
A HiatusRAT egyfajta rosszindulatú program, amelyet a Távoli hozzáférésű trójai (RAT). A távelérési trójaiakat a kiberbűnözők arra használják, hogy távoli hozzáférést és vezérlést kapjanak a célzott eszközökhöz. Úgy tűnik, a HiatusRAT malware legújabb verziója 2022 júliusa óta használatban van.
A Lumen blogbejegyzésben az is szerepel, hogy "A HiatusRAT lehetővé teszi a fenyegetés szereplői számára, hogy távolról kapcsolatba lépjenek a rendszerrel, és előre beépített funkciókat használ – amelyek közül néhány rendkívül szokatlan –, hogy a kompromittált gépet titkos proxyvá alakítsa fenyegetőző színész."
A "tcpdump" parancssori segédprogram használata, a HiatusRAT képes elkapni a megcélzott útválasztón áthaladó hálózati forgalmat, lehetővé téve az adatok ellopását. A Lumen azt is feltételezte, hogy a támadásban részt vevő rosszindulatú operátorok célja egy titkos proxyhálózat létrehozása a támadáson keresztül.
A HiatusRAT meghatározott típusú útválasztókat céloz meg
A HiatusRAT rosszindulatú szoftvert az életciklusuk végén lévő DrayTek Vigor VPN útválasztók, különösen az i386 architektúrát futtató 2690 és 3900 modellek támadására használják. Ezek nagy sávszélességű útválasztók, amelyeket a vállalkozások a távoli dolgozók VPN-támogatására használnak.
Ezeket az útválasztó-modelleket általában a kis- és középvállalkozások tulajdonosai használják, akiket különösen fenyeget a kampány célpontjainak kockázata. A kutatók nem tudják, hogyan szivárogtak be ezekbe a DrayTek Vigor útválasztókba az írás idején.
Február közepén több mint 4000 gépet találtak sebezhetőnek a rosszindulatú programokkal szemben, ami azt jelenti, hogy sok vállalkozás még mindig ki van téve a támadásnak.
A támadók csak néhány DrayTek útválasztót vesznek célba
Az internetre ma csatlakoztatott DrayTek 2690 és 3900 routerek közül a Lumen mindössze 2 százalékos fertőzési arányt jelentett.
Ez azt jelzi, hogy a rosszindulatú operátorok megpróbálják minimálisra csökkenteni digitális lábnyomukat, hogy korlátozzák az expozíciót és elkerüljék az észlelést. Lumen a fent említett blogbejegyzésben azt is felvetette, hogy ezt a taktikát a támadók is alkalmazzák "a jelenlét kritikus pontjainak fenntartására".
A HiatusRAT folyamatos kockázatot jelent
A cikk írásakor a HiatusRAT számos kisvállalkozás számára jelent kockázatot, mivel még mindig több ezer útválasztó van kitéve ennek a rosszindulatú programnak. Az idő eldönti, hogy hány DrayTek útválasztót céloznak meg sikeresen ebben a rosszindulatú kampányban.