Новый троян HiatusRAT атакует бизнес-роутеры для скрытого сбора данных о компаниях

Неизвестный злоумышленник незаметно взломал маршрутизаторы DrayTek, относящиеся к бизнес-классу. Были затронуты устройства на территории Европы, а также в некоторых частях Латинской и Северной Америк Хакер заразил роутеры трояном удалённого доступа (его уже назвали HiatusRAT) и программой перехвата пакетов.

Специалистам пока не удалось точно определить, как злоумышленник скомпрометировал устройства, но они знают, что происходит дальше: развёрнутый скрипт bash извлекает HiatusRAT и вариант tcpdump.

HiatusRAT даёт возможность хакеру загружать файлы или выполнять команды на маршрутизаторе и служит прокси-устройством SOCKS5. Он способен собирать данные о маршрутизаторе на системном уровнк. Например, MAC-адрес и версию прошивки, а также информацию о других файлах и процессах, запущенных на нём. Но он также может собирать сетевую информацию для точного определения локальных IP- и MAC-адресов других устройств в соседней локальной сети, что может пригодиться хакеру позже.

Было обнаружено, что некоторые из функций трояна являются общими, но другие были специально созданы для таких вещей, как обеспечение запутанной связи и имитации законного поведения с целью минимизации обнаружения.

Вариант tcpdump позволяет субъекту наблюдать трафик на портах (21, 25, 110, 143), имеющий связь с электронной почтой, а также передачей файлов из соседней локальной сети, и перехватывать пакеты данных. Специалисты подозревают, что в этот список могут быть добавлены дополнительные порты, «если злоумышленник обнаружит жертву, представляющую большой интерес».

Согласно телеметрии Lumen, кампания привела к успешной компрометации около 100 маршрутизаторов.