Jauna ļaunprātīgas programmatūras kampaņa, kas pazīstama kā "Hiatus", ir vērsta uz mazo uzņēmumu maršrutētājiem, lai zagtu datus un izspiegotu upurus.
Jauna "Hiatus" ļaunprātīgas programmatūras kampaņa uzbrūk biznesa maršrutētājiem
Jauna ļaunprātīgas programmatūras kampaņa ar nosaukumu "Hiatus" ir vērsta uz mazo uzņēmumu maršrutētājiem, kas izmanto HiatiusRAT ļaunprātīgu programmatūru.
2023. gada 6. martā pētniecības uzņēmums Lumen publicēja emuāra ziņu, kurā tika apspriesta šī ļaunprātīgā kampaņa. Iekš Lumen emuāra ieraksts, tika norādīts, ka "Lumen Black Lotus Labs® identificēja citu, nekad iepriekš neredzētu kampaņu, kurā bija iesaistīti apdraudēti maršrutētāji."
HiatusRAT ir ļaunprātīgas programmatūras veids, kas pazīstams kā a Attālās piekļuves Trojas zirgs (RAT). Attālās piekļuves Trojas zirgus izmanto kibernoziedznieki, lai iegūtu attālinātu piekļuvi un kontrolētu mērķa ierīci. Šķiet, ka jaunākā HiatusRAT ļaunprogrammatūras versija ir izmantota kopš 2022. gada jūlija.
Lumen emuāra ierakstā arī tika teikts, ka "HiatusRAT ļauj draudu izpildītājam attālināti mijiedarboties ar sistēmu, un tas izmanto iepriekš iebūvētu funkcionalitāti, no kurām dažas ir ļoti neparastas, lai pārveidotu apdraudēto mašīnu par slēptu starpniekserveri draudu aktieris."
Izmantojot komandrindas utilītu "tcpdump"., HiatusRAT var uztvert tīkla trafiku, kas šķērso mērķa maršrutētāju, ļaujot nozagt datus. Lumen arī spekulēja, ka šajā uzbrukumā iesaistīto ļaunprātīgo operatoru mērķis ir ar uzbrukuma palīdzību izveidot slēptu starpniekservera tīklu.
HiatusRAT ir mērķēts uz īpašiem maršrutētāju veidiem
HiatusRAT ļaunprogrammatūra tiek izmantota, lai uzbruktu novecojušiem DrayTek Vigor VPN maršrutētājiem, īpaši 2690 un 3900 modeļiem, kuros darbojas i386 arhitektūra. Tie ir liela joslas platuma maršrutētāji, kurus uzņēmumi izmanto, lai sniegtu attālināto darbinieku VPN atbalstu.
Šos maršrutētāju modeļus parasti izmanto mazu un vidēju uzņēmumu īpašnieki, kuri ir īpaši pakļauti riskam, ka tiks atlasīti šajā kampaņā. Pētnieki nezina, kā šie DrayTek Vigor maršrutētāji tika iefiltrēti rakstīšanas laikā.
Februāra vidū tika konstatēts, ka vairāk nekā 4000 iekārtu ir neaizsargātas pret šo ļaunprātīgas programmatūras kampaņu, kas nozīmē, ka daudzi uzņēmumi joprojām ir pakļauti uzbrukuma riskam.
Uzbrucēji ir mērķēti tikai uz dažiem DrayTek maršrutētājiem
No visiem DrayTek 2690 un 3900 maršrutētājiem, kas šodien ir savienoti ar internetu, Lumen ziņoja, ka inficēšanās līmenis ir tikai 2 procenti.
Tas norāda, ka ļaunprātīgie operatori cenšas pēc iespējas samazināt savu digitālo pēdas nospiedumu, lai ierobežotu iedarbību un izvairītos no atklāšanas. Lumens arī iepriekš minētajā emuāra ierakstā norādīja, ka šo taktiku izmanto arī uzbrucēji, lai "uzturētu kritiskos klātbūtnes punktus".
HiatusRAT rada pastāvīgu risku
Rakstīšanas laikā HiatusRAT rada risku daudziem maziem uzņēmumiem, jo tūkstošiem maršrutētāju joprojām ir pakļauti šai ļaunprogrammatūrai. Laiks rādīs, cik daudz DrayTek maršrutētāju ir veiksmīgi atlasīti šajā ļaunprātīgajā kampaņā.