Malware | Hacking | Router

Malware ZuoRAT infikuje routery Cisco, Netgear, Asus a DayTek a špehuje síťový provoz

Malware ZuoRAT infikuje routery Cisco, Netgear, Asus a DayTek a špehuje síťový provoz

Bezpečnostní experti z laboratoří Black Lotus Labs telekomunikační firmy Lumen Technologies v úterý oznámili, že skupina neobvykle pokročilých hackerů téměř dva roky infikovala širokou škálu routerů v Severní Americe a Evropě malwarem ZuoRAT. Dle zjištění je schopen plně ovládat připojená zařízení se systémy Windows, macOS a Linux.

Odborníci identifikovali nejméně 80 cílů napadených malwarem, který infikoval routery značek Cisco, Netgear, Asus a DayTek. Trojan pro vzdálený přístup je součástí širší hackerské kampaně běžící přinejmenším od posledního čtvrtletí roku 2020 až dosud.

Záludný malware

Objev malwaru, napsaného na míru pro architekturu MIPS a zkompilovaného pro směrovače pro malé a domácí kanceláře, je významný zejména vzhledem k rozsahu jeho schopností. Dokáže například zjistit všechna zařízení připojená k infikovanému směrovači, shromažďovat informace o DNS požadavcích a sledovat síťový provoz.

„Kompromitace routerů jako vstupního vektoru pro získání přístupu do připojené sítě LAN sice není nová technika, ale bývá zaznamenána jen zřídka,“ napsali bezpečnostní experti. „Stejně tak útoky ve stylu "Man-in-the-middle", jako je únos DNS a HTTP, jsou ještě vzácnější a jsou známkou komplexní a cílené operace. Použití těchto technik prokázalo vysokou úroveň sofistikovanosti útočníka, což naznačuje, že tuto kampaň pravděpodobně provádí (nějakým) státem sponzorovaná organizace.“

Kampaň zahrnuje nejméně čtyři prvky malwaru. První je ZuoRAT, založený na platformě MIPS, který se velmi podobá malwaru Mirai pro zařízení internetu věcí, jež způsobil rekordní útoky typu distribuovaného odepření služby (DDoS), které na několik dní ochromily některé internetové služby. Nejčastěji je instalován zneužitím neopravených zranitelností v zařízeních.

Naštěstí stačí restart

Po instalaci ZuoRAT zjistí zařízení připojená k infikovanému směrovači. Útočník pak může pomocí únosu DNS a HTTP komunikace přimět připojená zařízení k instalaci dalšího malwaru. Dvě z komponent – označované jako CBeacon a GoBeacon – jsou vytvořeny na zakázku, přičemž první z nich je napsána pro systém Windows v jazyce C++ a druhá v jazyce Go pro zařízení se systémy Linux a MacOS. Kvůli flexibilitě může ZuoRAT infikovat připojená zařízení také pomocí hackerského nástroje Cobalt Strike.

Klepněte pro větší obrázek 
Schéma útoku malwaru ZuoRAT

ZuoRAT může infekci na připojená zařízení přenášet jedním ze dvou způsobů: únosem DNS, kdy nahradí platné IP adresy odpovídající doméně, jako je Google nebo Facebook, škodlivou adresou provozovanou útočníkem, nebo únosem HTTP, při kterém malware vygeneruje chybu 302, jež uživatele přesměruje na jinou IP adresu s malwarem.

Odhalení probíhající kampaně je nejvýznamnějším odhalením týkajícím se útoku na routery od doby VPNFilteru – malwaru namířeného na routery, vytvořeného a nasazeného ruskou vládou, který byl objeven v roce 2018.

Dobrou zprávou je, že stejně jako většina malwaru pro routery, ani ZuoRAT nepřežije jejich restart. Restartování infikovaného zařízení odstraní původní exploit, skládající se ze souborů uložených v dočasném adresáři. Pro úplné zotavení je však třeba infikovaná zařízení obnovit do továrního nastavení. V případě, že byla připojená zařízení infikována i jiným malwarem, je bohužel nelze tak snadno dezinfikovat.

Diskuze (5) Další článek: ELONOVINKY: Největší raketa historie má blíže ke startu a Mechazilla byla poprvé v akci

Témata článku: Google, Facebook, Linux, Internet, macOS, Asus, Malware, Evropa, Hacking, Router, Cisco Systems, Netgear, DNS, Zařízení, Severní Amerika, Trojan, Mirai, Připojené zařízení, Únos, Ruská vláda, MIPS, Bezpečnostní expert, Cisco



Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

Sex manželských párů? Jen výjimečně. Ložnice ovládnou roboti s umělou inteligencí

** Sex manželských párů jen při zvláštních příležitostech. ** Ložnice ovládnou sexuální roboti s umělou inteligencí. ** I to je jeden ze závěrů Mezinárodní robotické konference.

Filip KůželJiří Liebreich
RobotiSexUmělá inteligence
Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

Jak poznat, že máte možná hacknutý telefon? Toto je devět symptomů, které můžete pozorovat

** Jak poznat, že je váš smartphone hacknutý? ** Hledejte známky po nestandardním chování telefonu ** Stačí když telefon vydrží méně nebo topí i v klidovém režimu...

Martin Chroust
Jak...Malware
Sociální síť BeReal jde proti proudu. Žádné filtry a přetvařování, tohle má být čistá realita

Sociální síť BeReal jde proti proudu. Žádné filtry a přetvařování, tohle má být čistá realita

** BeReal je novou hvězdou mezi sociálními sítěmi ** Ukazuje pouze všední realitu běžných dní ** Aplikace vám jednou denně dá dvě minuty na poslání vlastní fotky

Martin Chroust
BeRealMobilní aplikaceSociální sítě
Kurvítka v základní výbavě, výrobci mají umělé zastarávání v malíku. Začalo to bateriemi, pokračuje softwarem

Kurvítka v základní výbavě, výrobci mají umělé zastarávání v malíku. Začalo to bateriemi, pokračuje softwarem

** Nejen mobilní výrobci jsou naučeni rok od roku prodávat stále více telefonů ** Tento trend se však zákonitě musí někdy zastavit ** Jenže, co naplat, když jsou starší zařízení „uměle“ nepoužitelná?

Martin Chroust
Prasklý displejBaterieAktualizace softwaru
Kde se vzala potřeba velkých operačních pamětí v telefonech a kolik RAM zabírá Android?

Kde se vzala potřeba velkých operačních pamětí v telefonech a kolik RAM zabírá Android?

** RAM je po procesoru druhým nejdůležitějším HW parametrem ** Stará se o rychlý multitasking a o svižné načítání dat ** Věděli jste, kolik v RAM průměrně zabírá Android 12?

Martin Chroust
Virtuální RAMOperační paměť
Izraelský obrněnec ROBUST autonomně bojuje proti pěchotě i tankům

Izraelský obrněnec ROBUST autonomně bojuje proti pěchotě i tankům

** Izraelský zbrojní gigant Elbit Systems nedávno představil střední obrněné vozidlo ROBUST ** To je určeno pro pokročilý autonomní boj proti pěchotě i obrněným vozidlům ** Nový obrněnec by měl operovat s vysokou mírou autonomie, za každého počasí a prakticky v každém terénu

Stanislav Mihulka
IzraelVojenstvíRoboti