Eine neue ausgeklügelte Malware greift Router an
Eine neue, bemerkenswert
ausgeklügelte Malware greift Router an
Nahaufnahme des Handhaltens eines
Ethernet-Kabels über schwarzem Hintergrund
Ein ungewöhnlich fortgeschrittener Die
Hacking-Gruppe hat fast zwei Jahre damit verbracht, eine Vielzahl von
Routern in Nordamerika und Europa mit Malware zu infizieren, die die
volle Kontrolle über angeschlossene Geräte mit Windows, macOS und Linux
übernimmt, berichteten Forscher am 28. Juni.
Ars Technica
Diese Geschichte erschien ursprünglich auf Ars
Technica, einer vertrauenswürdigen Quelle für Technologienachrichten,
Analysen von Technologierichtlinien, Rezensionen und mehr. Ars gehört
der Muttergesellschaft von WIRED, Condé Nast.
Bisher haben Forscher der Black Lotus Labs von
Lumen Technologies mindestens 80 Ziele identifiziert, die mit der
heimlichen Malware infiziert sind, darunter Router von Cisco, Netgear,
Asus und DrayTek. Der als ZuoRAT bezeichnete Remote-Access-Trojaner ist
Teil einer umfassenderen Hacking-Kampagne, die mindestens seit dem
vierten Quartal 2020 besteht und weiterhin in Betrieb ist.
Ein hohes Maß an Raffinesse
Die Entdeckung von maßgeschneiderter Malware,
die für die MIPS-Architektur geschrieben und für Small-Office- und
Home-Office-Router kompiliert wurde, ist von Bedeutung, insbesondere
angesichts ihrer vielfältigen Funktionen. Seine Fähigkeit, alle Geräte
aufzulisten, die mit einem infizierten Router verbunden sind, und die
DNS-Lookups und den Netzwerkverkehr zu sammeln, die sie senden und
empfangen und unentdeckt bleiben, ist das Markenzeichen eines
hochentwickelten Bedrohungsakteurs.
"Während die Kompromittierung von SOHO-Routern
als Zugangsvektor, um Zugang zu einem benachbarten LAN zu erhalten,
keine neue Technik ist, wurde selten darüber berichtet", schrieben die
Forscher von Black Lotus Labs. "In ähnlicher Weise sind Berichte über
Angriffe im Stil von Personen im mittleren Stil, wie DNS- und
HTTP-Hijacking, noch seltener und ein Zeichen für eine komplexe und
gezielte Operation. Die Verwendung dieser beiden Techniken zeigte
kongruent ein hohes Maß an Raffinesse durch einen Bedrohungsakteur, was
darauf hindeutet, dass diese Kampagne möglicherweise von einer staatlich
geförderten Organisation durchgeführt wurde. "
Die Kampagne besteht aus mindestens vier
Malware-Stücken, von denen drei vom Bedrohungsakteur von Grund auf neu
geschrieben wurden. Das erste Stück ist das MIPS-basierte ZuoRAT, das
der Mirai-Internet-of-Things-Malware sehr ähnlich ist, die
rekordverdächtige verteilte Denial-of-Service-Angriffe erreichte, die
einige Internetdienste tagelang lahmlegten. ZuoRAT wird oft installiert,
indem ungepatchte Schwachstellen in SOHO-Geräten ausgenutzt werden.
Nach der Installation listet ZuoRAT die Geräte
auf, die mit dem infizierten Router verbunden sind. Der Bedrohungsakteur
kann dann DNS-Hijacking und HTTP-Hijacking verwenden, um die verbundenen
Geräte dazu zu bringen, andere Malware zu installieren. Zwei dieser
Malware-Stücke - CBeacon und GoBeacon genannt - sind maßgeschneidert,
wobei das erste für Windows in C ++ und das zweite in Go für die
Cross-Compilierung auf Linux- und macOS-Geräten geschrieben wurde. Aus
Gründen der Flexibilität kann ZuoRAT auch angeschlossene Geräte mit dem
weit verbreiteten Cobalt Strike-Hacking-Tool infizieren.
ZuoRAT kann Infektionen mit einer von zwei
Methoden auf angeschlossene Geräte übertragen:
DNS-Hijacking, das die gültigen IP-Adressen,
die einer Domain wie Google oder Facebook entsprechen, durch eine
bösartige ersetzt, die vom Angreifer betrieben wird.
HTTP-Hijacking, bei dem sich die Malware in
die Verbindung einfügt, um einen 302-Fehler zu generieren, der den
Benutzer auf eine andere IP-Adresse umleitet.
Absichtlich komplex
Black Lotus Labs sagte, dass die in der
Kampagne verwendete Command-and-Control-Infrastruktur absichtlich
komplex ist, um zu verbergen, was passiert. Ein Satz von Infrastruktur
wird verwendet, um infizierte Router zu kontrollieren, und ein anderer
ist für die verbundenen Geräte reserviert, wenn sie später infiziert
werden.
Die Forscher beobachteten Router von 23
IP-Adressen mit einer persistenten Verbindung zu einem Kontrollserver,
von denen sie glauben, dass sie eine erste Umfrage durchführten, um
festzustellen, ob die Ziele von Interesse waren. Eine Teilmenge dieser
23 Router interagierte später drei Monate lang mit einem in Taiwan
ansässigen Proxy-Server. Eine weitere Teilmenge von Routern wurde zu
einem in Kanada ansässigen Proxy-Server rotiert, um die Infrastruktur
des Angreifers zu verschleiern
https://www.wired.com/story/zuorat-trojan-malware-hacking-routers/