Hooepage Cybersecuritv Cyberpace
Cyberwaffen  Pegasus Trojaner DOS   DDOSMalware
Waffen im virtuellen Raum

Eine neue ausgeklügelte Malware greift Router an

 
 
 
 
 
 
 
 
 
 
W I R E D

Eine neue ausgeklügelte Malware greift Router an

Eine neue, bemerkenswert ausgeklügelte Malware greift Router an


Nahaufnahme des Handhaltens eines Ethernet-Kabels über schwarzem Hintergrund
Ein ungewöhnlich fortgeschrittener Die Hacking-Gruppe hat fast zwei Jahre damit verbracht, eine Vielzahl von Routern in Nordamerika und Europa mit Malware zu infizieren, die die volle Kontrolle über angeschlossene Geräte mit Windows, macOS und Linux übernimmt, berichteten Forscher am 28. Juni.

Ars Technica
Diese Geschichte erschien ursprünglich auf Ars Technica, einer vertrauenswürdigen Quelle für Technologienachrichten, Analysen von Technologierichtlinien, Rezensionen und mehr. Ars gehört der Muttergesellschaft von WIRED, Condé Nast.

Bisher haben Forscher der Black Lotus Labs von Lumen Technologies mindestens 80 Ziele identifiziert, die mit der heimlichen Malware infiziert sind, darunter Router von Cisco, Netgear, Asus und DrayTek. Der als ZuoRAT bezeichnete Remote-Access-Trojaner ist Teil einer umfassenderen Hacking-Kampagne, die mindestens seit dem vierten Quartal 2020 besteht und weiterhin in Betrieb ist.

Ein hohes Maß an Raffinesse
Die Entdeckung von maßgeschneiderter Malware, die für die MIPS-Architektur geschrieben und für Small-Office- und Home-Office-Router kompiliert wurde, ist von Bedeutung, insbesondere angesichts ihrer vielfältigen Funktionen. Seine Fähigkeit, alle Geräte aufzulisten, die mit einem infizierten Router verbunden sind, und die DNS-Lookups und den Netzwerkverkehr zu sammeln, die sie senden und empfangen und unentdeckt bleiben, ist das Markenzeichen eines hochentwickelten Bedrohungsakteurs.

"Während die Kompromittierung von SOHO-Routern als Zugangsvektor, um Zugang zu einem benachbarten LAN zu erhalten, keine neue Technik ist, wurde selten darüber berichtet", schrieben die Forscher von Black Lotus Labs. "In ähnlicher Weise sind Berichte über Angriffe im Stil von Personen im mittleren Stil, wie DNS- und HTTP-Hijacking, noch seltener und ein Zeichen für eine komplexe und gezielte Operation. Die Verwendung dieser beiden Techniken zeigte kongruent ein hohes Maß an Raffinesse durch einen Bedrohungsakteur, was darauf hindeutet, dass diese Kampagne möglicherweise von einer staatlich geförderten Organisation durchgeführt wurde. "

Die Kampagne besteht aus mindestens vier Malware-Stücken, von denen drei vom Bedrohungsakteur von Grund auf neu geschrieben wurden. Das erste Stück ist das MIPS-basierte ZuoRAT, das der Mirai-Internet-of-Things-Malware sehr ähnlich ist, die rekordverdächtige verteilte Denial-of-Service-Angriffe erreichte, die einige Internetdienste tagelang lahmlegten. ZuoRAT wird oft installiert, indem ungepatchte Schwachstellen in SOHO-Geräten ausgenutzt werden.

Nach der Installation listet ZuoRAT die Geräte auf, die mit dem infizierten Router verbunden sind. Der Bedrohungsakteur kann dann DNS-Hijacking und HTTP-Hijacking verwenden, um die verbundenen Geräte dazu zu bringen, andere Malware zu installieren. Zwei dieser Malware-Stücke - CBeacon und GoBeacon genannt - sind maßgeschneidert, wobei das erste für Windows in C ++ und das zweite in Go für die Cross-Compilierung auf Linux- und macOS-Geräten geschrieben wurde. Aus Gründen der Flexibilität kann ZuoRAT auch angeschlossene Geräte mit dem weit verbreiteten Cobalt Strike-Hacking-Tool infizieren.

ZuoRAT kann Infektionen mit einer von zwei Methoden auf angeschlossene Geräte übertragen:

DNS-Hijacking, das die gültigen IP-Adressen, die einer Domain wie Google oder Facebook entsprechen, durch eine bösartige ersetzt, die vom Angreifer betrieben wird.
HTTP-Hijacking, bei dem sich die Malware in die Verbindung einfügt, um einen 302-Fehler zu generieren, der den Benutzer auf eine andere IP-Adresse umleitet.
Absichtlich komplex
Black Lotus Labs sagte, dass die in der Kampagne verwendete Command-and-Control-Infrastruktur absichtlich komplex ist, um zu verbergen, was passiert. Ein Satz von Infrastruktur wird verwendet, um infizierte Router zu kontrollieren, und ein anderer ist für die verbundenen Geräte reserviert, wenn sie später infiziert werden.

Die Forscher beobachteten Router von 23 IP-Adressen mit einer persistenten Verbindung zu einem Kontrollserver, von denen sie glauben, dass sie eine erste Umfrage durchführten, um festzustellen, ob die Ziele von Interesse waren. Eine Teilmenge dieser 23 Router interagierte später drei Monate lang mit einem in Taiwan ansässigen Proxy-Server. Eine weitere Teilmenge von Routern wurde zu einem in Kanada ansässigen Proxy-Server rotiert, um die Infrastruktur des Angreifers zu verschleiern

https://www.wired.com/story/zuorat-trojan-malware-hacking-routers/