ख़ाली जगह

साइबर सुरक्षा विशेषज्ञों ने पहले अज्ञात हमले अभियान की खोज की है जिसमें समझौता किए गए राउटर शामिल हैं। अभियान, जिसे 'हायटस' के रूप में जाना जाता है, जटिल है और व्यवसाय-श्रेणी के राउटर को लक्षित करता है। यह दो समझौता किए गए बायनेरिज़ को तैनात करता है, जिसमें रिमोट एक्सेस ट्रोजन (RAT) जिसे 'HiatusRAT' कहा जाता है और tcpdump का एक प्रकार है जो लक्ष्य डिवाइस पर पैकेट कैप्चर कर सकता है। एक सुरक्षा शोधकर्ता की एक रिपोर्ट में धमकी देने वाले अभियान और शामिल मैलवेयर के बारे में विवरण जारी किया गया था

एक बार लक्षित सिस्टम संक्रमित हो जाने के बाद, HiatusRAT खतरे के अभिनेता को उपकरणों के साथ दूर से बातचीत करने की अनुमति देता है। यह पूर्वनिर्मित कार्यक्षमता का उपयोग करता है जो खतरे वाले अभिनेता के लिए समझौता किए गए मशीनों को गुप्त प्रॉक्सी में परिवर्तित करने के लिए अत्यधिक असामान्य है। पैकेट-कैप्चर बाइनरी खतरे के अभिनेताओं को ईमेल और फ़ाइल-ट्रांसफर संचार से जुड़े बंदरगाहों पर राउटर ट्रैफ़िक की निगरानी करने की अनुमति देता है, प्रभावी रूप से उन्हें गोपनीय जानकारी चुराने की क्षमता देता है।

हमलावरों ने जीवन के अंत व्यापार रूटर्स को लक्षित किया

अंतराल के रूप में जाना जाने वाला अभियान ड्रायटेक वीगोर मॉडल 2960 और 3900 के जीवन के अंत को लक्षित करता है, जो एक i386 आर्किटेक्चर पर काम करता है। हालाँकि, infosec शोधकर्ताओं ने पूर्वनिर्मित बायनेरिज़ का भी अवलोकन किया है जो MIPS, i386 और ARM-आधारित आर्किटेक्चर को भी लक्षित करते हैं। ये राउटर आमतौर पर मध्यम आकार के व्यवसायों द्वारा उपयोग किए जाते हैं और सैकड़ों दूरस्थ श्रमिकों के लिए वीपीएन कनेक्शन का समर्थन कर सकते हैं।

यह संदेह है कि अभियान के पीछे के खतरे वाले कारक गुप्त प्रॉक्सी नेटवर्क स्थापित करने के अवसरों को लक्षित करते हुए डेटा एकत्र करने के लिए रुचि के लक्ष्यों को संक्रमित करते हैं। अभियान में तीन मुख्य घटक होते हैं: एक बैश स्क्रिप्ट जिसे पोस्ट-शोषण के बाद तैनात किया गया है, बैश स्क्रिप्ट द्वारा प्राप्त किए गए दो निष्पादनयोग्य - HiatusRAT और tcpdump का एक संस्करण जो पैकेट कैप्चर को सक्षम करता है।

विश्लेषण करने पर, यह पाया गया कि HiatusRAT दो प्राथमिक उद्देश्यों को पूरा करता है। सबसे पहले, यह अभिनेता को प्रभावित डिवाइस के साथ दूरस्थ रूप से बातचीत करने की अनुमति देता है, जिससे उन्हें फ़ाइलें डाउनलोड करने या मनमाना आदेश चलाने में मदद मिलती है। दूसरे, यह राउटर पर SOCKS5 प्रॉक्सी डिवाइस के रूप में काम कर सकता है। इसका उपयोग राउटर के माध्यम से कमांड-एंड-कंट्रोल (C2, C&C) ट्रैफिक को प्रॉक्सी करने की सुविधा के लिए किया जाता है ताकि इसे कहीं और अतिरिक्त एजेंट से बाधित किया जा सके।

HiatusRAT में मिली खतरनाक क्षमताएं

हमला एक बैश स्क्रिप्ट की तैनाती के साथ शुरू होता है जो RAT मालवेयर को डाउनलोड और निष्पादित करता है, जिससे यह सिस्टम, नेटवर्क, फाइल सिस्टम को इकट्ठा करने और समझौता किए गए राउटर से डेटा को प्रोसेस करने की अनुमति देता है।

HiatusRAT हर 8 घंटे में एक कमांड-एंड-कंट्रोल सर्वर के साथ संचार भी स्थापित करता है और सफल होने पर हमलावरों को संक्रमित डिवाइस की निगरानी के लिए रिमोट एक्सेस देता है। रिवर्स इंजीनियरिंग विश्लेषण से मालवेयर की कई अत्यंत खतरनाक विशेषताओं का पता चला, जिसमें संक्रमित उपकरणों पर रिमोट शेल उत्पन्न करना, C2 सर्वर पर फ़ाइलों को पढ़ना/हटाना/एक्सफ़िल्ट्रेट करना, C2 सर्वर से फ़ाइलें लाना और निष्पादित करना, C2 सर्वर से स्क्रिप्ट निष्पादित करना, TCP डेटा ट्रांसमिट करना शामिल है। उल्लंघन किए गए राउटर पर स्थापित SOCKS v5 प्रॉक्सी के माध्यम से अग्रेषण स्थानों पर सेट करता है। यदि हमलावर ऐसा करने का निर्णय लेते हैं, तो वे खतरे को खुद को समाप्त करने का निर्देश दे सकते हैं।

इसके अतिरिक्त, हमलावर संक्रमित राउटर के माध्यम से अन्य उल्लंघन किए गए उपकरणों से डेटा स्थानांतरित करने के लिए SOCKS v5 प्रॉक्सी का उपयोग करते हैं। यह नेटवर्क डेटा को अस्पष्ट करने और वैध कार्यों की नकल करने में मदद करता है। संगठनों को इस खतरे के बारे में पता होना चाहिए और ऐसे हमलों के खिलाफ अपने नेटवर्क को सुरक्षित करने के उपाय करने चाहिए।