Bezpečnostní experti z laboratoří Black Lotus Labs telekomunikační firmy Lumen Technologies v úterý oznámili, že skupina neobvykle pokročilých hackerů téměř dva roky infikovala širokou škálu routerů v Severní Americe a Evropě malwarem ZuoRAT. Dle zjištění je schopen plně ovládat připojená zařízení se systémy Windows, macOS a Linux.
Odborníci identifikovali nejméně 80 cílů napadených malwarem, který infikoval routery značek Cisco, Netgear, Asus a DayTek. Trojan pro vzdálený přístup je součástí širší hackerské kampaně běžící přinejmenším od posledního čtvrtletí roku 2020 až dosud.
Záludný malware
Objev malwaru, napsaného na míru pro architekturu MIPS a zkompilovaného pro směrovače pro malé a domácí kanceláře, je významný zejména vzhledem k rozsahu jeho schopností. Dokáže například zjistit všechna zařízení připojená k infikovanému směrovači, shromažďovat informace o DNS požadavcích a sledovat síťový provoz.
„Kompromitace routerů jako vstupního vektoru pro získání přístupu do připojené sítě LAN sice není nová technika, ale bývá zaznamenána jen zřídka,“ napsali bezpečnostní experti. „Stejně tak útoky ve stylu "Man-in-the-middle", jako je únos DNS a HTTP, jsou ještě vzácnější a jsou známkou komplexní a cílené operace. Použití těchto technik prokázalo vysokou úroveň sofistikovanosti útočníka, což naznačuje, že tuto kampaň pravděpodobně provádí (nějakým) státem sponzorovaná organizace.“
Kampaň zahrnuje nejméně čtyři prvky malwaru. První je ZuoRAT, založený na platformě MIPS, který se velmi podobá malwaru Mirai pro zařízení internetu věcí, jež způsobil rekordní útoky typu distribuovaného odepření služby (DDoS), které na několik dní ochromily některé internetové služby. Nejčastěji je instalován zneužitím neopravených zranitelností v zařízeních.
Naštěstí stačí restart
Po instalaci ZuoRAT zjistí zařízení připojená k infikovanému směrovači. Útočník pak může pomocí únosu DNS a HTTP komunikace přimět připojená zařízení k instalaci dalšího malwaru. Dvě z komponent – označované jako CBeacon a GoBeacon – jsou vytvořeny na zakázku, přičemž první z nich je napsána pro systém Windows v jazyce C++ a druhá v jazyce Go pro zařízení se systémy Linux a MacOS. Kvůli flexibilitě může ZuoRAT infikovat připojená zařízení také pomocí hackerského nástroje Cobalt Strike.
Schéma útoku malwaru ZuoRAT
ZuoRAT může infekci na připojená zařízení přenášet jedním ze dvou způsobů: únosem DNS, kdy nahradí platné IP adresy odpovídající doméně, jako je Google nebo Facebook, škodlivou adresou provozovanou útočníkem, nebo únosem HTTP, při kterém malware vygeneruje chybu 302, jež uživatele přesměruje na jinou IP adresu s malwarem.
Odhalení probíhající kampaně je nejvýznamnějším odhalením týkajícím se útoku na routery od doby VPNFilteru – malwaru namířeného na routery, vytvořeného a nasazeného ruskou vládou, který byl objeven v roce 2018.
Dobrou zprávou je, že stejně jako většina malwaru pro routery, ani ZuoRAT nepřežije jejich restart. Restartování infikovaného zařízení odstraní původní exploit, skládající se ze souborů uložených v dočasném adresáři. Pro úplné zotavení je však třeba infikovaná zařízení obnovit do továrního nastavení. V případě, že byla připojená zařízení infikována i jiným malwarem, je bohužel nelze tak snadno dezinfikovat.
