HiatusRAT

Οι ειδικοί στον τομέα της κυβερνοασφάλειας ανακάλυψαν μια προηγουμένως άγνωστη εκστρατεία επίθεσης που περιλαμβάνει παραβιασμένους δρομολογητές. Η καμπάνια, γνωστή ως "Hiatus", είναι περίπλοκη και στοχεύει δρομολογητές επιχειρηματικής ποιότητας. Αναπτύσσει δύο παραβιασμένα δυαδικά αρχεία, συμπεριλαμβανομένου ενός Trojan Remote Access (RAT) που ονομάζεται "HiatusRAT" και μια παραλλαγή του tcpdump που μπορεί να πραγματοποιήσει σύλληψη πακέτων στη συσκευή προορισμού. Λεπτομέρειες σχετικά με την απειλητική εκστρατεία και το εμπλεκόμενο κακόβουλο λογισμικό δημοσιεύθηκαν σε μια αναφορά από έναν ερευνητή ασφάλειας

Μόλις τα στοχευμένα συστήματα μολυνθούν, το HiatusRAT επιτρέπει στον παράγοντα απειλής να αλληλεπιδρά εξ αποστάσεως με τις συσκευές. Χρησιμοποιεί προκατασκευασμένη λειτουργικότητα που είναι εξαιρετικά ασυνήθιστη για τη μετατροπή των παραβιασμένων μηχανών σε ένα μυστικό διακομιστή μεσολάβησης για τον παράγοντα απειλής. Το δυαδικό σύστημα λήψης πακέτων επιτρέπει στους παράγοντες απειλής να παρακολουθούν την κίνηση του δρομολογητή σε θύρες που σχετίζονται με επικοινωνίες ηλεκτρονικού ταχυδρομείου και μεταφοράς αρχείων, δίνοντάς τους ουσιαστικά τη δυνατότητα να κλέβουν εμπιστευτικές πληροφορίες.

Οι επιτιθέμενοι στοχεύουν επιχειρηματικούς δρομολογητές στο τέλος της ζωής τους

Η καμπάνια γνωστή ως Hiatus στοχεύει τα μοντέλα DrayTek Vigor 2960 και 3900 στο τέλος της ζωής τους, τα οποία λειτουργούν με αρχιτεκτονική i386. Ωστόσο, οι ερευνητές του infosec παρατήρησαν επίσης προκατασκευασμένα δυαδικά αρχεία που στοχεύουν επίσης αρχιτεκτονικές MIPS, i386 και ARM. Αυτοί οι δρομολογητές χρησιμοποιούνται συνήθως από μεσαίες επιχειρήσεις και μπορούν να υποστηρίξουν συνδέσεις VPN για εκατοντάδες απομακρυσμένους εργαζόμενους.

Υπάρχει η υποψία ότι οι παράγοντες απειλών πίσω από την εκστρατεία μολύνουν στόχους ενδιαφέροντος για τη συλλογή δεδομένων, ενώ στοχεύουν επίσης ευκαιρίες για τη δημιουργία ενός μυστικού δικτύου πληρεξουσίων. Η καμπάνια αποτελείται από τρία κύρια στοιχεία: ένα σενάριο bash που αναπτύχθηκε μετά την εκμετάλλευση, δύο εκτελέσιμα που ανακτήθηκαν από το σενάριο bash - HiatusRAT και μια παραλλαγή του tcpdump που επιτρέπει τη λήψη πακέτων.

Μετά από ανάλυση, διαπιστώθηκε ότι το HiatusRAT εξυπηρετεί δύο πρωταρχικούς σκοπούς. Πρώτον, επιτρέπει στον ηθοποιό να αλληλεπιδρά εξ αποστάσεως με την επηρεαζόμενη συσκευή, επιτρέποντάς του να κατεβάζει αρχεία ή να εκτελεί αυθαίρετες εντολές. Δεύτερον, μπορεί να λειτουργήσει ως συσκευή μεσολάβησης SOCKS5 στο δρομολογητή. Αυτό πιθανότατα χρησιμοποιείται για τη διευκόλυνση της διαμεσολάβησης της κυκλοφορίας Command-and-Control (C2, C&C) μέσω του δρομολογητή, προκειμένου να την αποκρύψει από έναν πρόσθετο πράκτορα αλλού.

Οι απειλητικές δυνατότητες που βρέθηκαν στο HiatusRAT

Η επίθεση ξεκινά με την ανάπτυξη ενός σεναρίου bash που κατεβάζει και εκτελεί το κακόβουλο λογισμικό RAT, επιτρέποντάς του να συλλέγει το σύστημα, το δίκτυο, το σύστημα αρχείων και να επεξεργάζεται δεδομένα από τον παραβιασμένο δρομολογητή.

Το HiatusRAT δημιουργεί επίσης επικοινωνία με έναν διακομιστή Command-and-Control κάθε 8 ώρες και, εάν είναι επιτυχής, παρέχει στους εισβολείς απομακρυσμένη πρόσβαση για την επίβλεψη της μολυσμένης συσκευής. Η ανάλυση αντίστροφης μηχανικής αποκάλυψε αρκετά εξαιρετικά επικίνδυνα χαρακτηριστικά του κακόβουλου λογισμικού, συμπεριλαμβανομένης της δημιουργίας απομακρυσμένων κελυφών σε μολυσμένες συσκευές, ανάγνωση/διαγραφή/εξαγωγή αρχείων στον διακομιστή C2, λήψη και εκτέλεση αρχείων από τον διακομιστή C2, εκτέλεση σεναρίων από τον διακομιστή C2, μετάδοση δεδομένων TCP ρυθμίζει σε θέσεις προώθησης μέσω διακομιστή μεσολάβησης SOCKS v5 που έχουν ρυθμιστεί σε δρομολογητές που έχουν παραβιαστεί. Εάν οι επιτιθέμενοι αποφασίσουν να το κάνουν, μπορούν να δώσουν εντολή στην απειλή να τερματιστεί η ίδια.

Επιπλέον, οι εισβολείς χρησιμοποιούν διακομιστές μεσολάβησης SOCKS v5 για να μετακινήσουν δεδομένα από άλλες συσκευές που έχουν παραβιαστεί μέσω του μολυσμένου δρομολογητή. Αυτό βοηθά στην απόκρυψη δεδομένων δικτύου και στη μίμηση νόμιμων ενεργειών. Οι οργανισμοί θα πρέπει να έχουν επίγνωση αυτής της απειλής και να λαμβάνουν μέτρα για την ασφάλεια των δικτύων τους από τέτοιες επιθέσεις.