{"id":4431,"date":"2023-03-08T00:29:05","date_gmt":"2023-03-07T23:29:05","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4431"},"modified":"2023-03-08T00:29:05","modified_gmt":"2023-03-07T23:29:05","slug":"hiatusrat-napada-draytek-rutere","status":"publish","type":"post","link":"http:\/\/sajberinfo.com\/en\/2023\/03\/08\/hiatusrat-napada-draytek-rutere\/","title":{"rendered":"HiatusRAT napada DrayTek rutere"},"content":{"rendered":"

HiatusRAT<\/em> napada poslovne orijentisane rutere\u00a0 koji podr\u017eavaju VPN<\/em> povezivanje, otkrio je Black Lotus Labs<\/em> sigurnosni tim<\/a> kompanije Lumen Technologies<\/em>.<\/span><\/p>\n

\"HiatusRAT\"

HiatusRAT napada DrayTek rutere; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n

Uvod<\/strong><\/span><\/h2>\n

Istra\u017eiva\u010di su otkrili napredni zlonamjerni softver koji pretvara poslovne rutere u ure\u0111aje za \u0161pijuniranje koji pod kontrolom zlonamjernog napada\u010da mo\u017ee nadgledati elektronsku po\u0161tu i ukrasti datoteke u kampanji koja trenutno poga\u0111a Sjevernu i Ju\u017enu Ameriku i Evropu.<\/span><\/p>\n

Ova kompleksna kampanja je nazvana \u201cHiatus<\/em>\u201d. U kampanji dolazi do infekcije poslovno orijentisanih rutera sa dvije zlonamjerne binarne datoteke, uklju\u010duju\u0107i trojanca za daljinski pristup (eng. Remote Access Trojan – RAT<\/em>) koji je nazvan HiatusRAT<\/em> i varijantu tcpdump<\/em> softvera koja omogu\u0107ava hvatanje i analizu mre\u017enih paketa na ciljnom ure\u0111aju.<\/span><\/p>\n

Kada do\u0111e do uspje\u0161ne infekcije rutera, HiatusRAT<\/em> dozvoljava zlonamjernom napada\u010du\u00a0 daljinsku komunikaciju sa ure\u0111ajem uz kori\u0161tenje unaprijed pripremljenih funkcionalnosti \u2013 od kojih su neke vrlo neobi\u010dne \u2013 kao na primjer pretvaranje kompromitovanog ure\u0111aja prikriveni proxy <\/em>server za dalje potrebe napada\u010da. Hvatanje i analiza mre\u017eni paketa omogu\u0107ava napada\u010du da posmatra svu komunikaciju na ruteru na portovima povezanim sa elektronskim po\u0161tom i prenosom podataka. Kampanja Hiatus<\/em> je po\u010dela u julu 2022.godine, ali sumnja se da je bila aktivna i prije 2022. godine.<\/span><\/p>\n

\"global

Screenshot of the global heatmap showing the distribution of bots from Oct. 1, 2022, through Feb. 20, 2023; Source: <\/em>Lumen Black Lotus Labs<\/em><\/a><\/p><\/div>\n

Kampanja Hiatus<\/em><\/strong><\/span><\/h3>\n

Zlonamjerni napada\u010di koji stoje iza ove kampanje prvenstveno napadaju modele kompanije DrayTek<\/em>: Vigor 2960<\/em> i Vigor 3900<\/em> na i386<\/em> arhitekturi kojima je prestala podr\u0161ka od strane proizvo\u0111a\u010da. Ovi modeli imaju visoki propusni opseg koji mo\u017ee da podr\u017ei VPN<\/em> povezivanje<\/a> sa stotinama udaljenih radnika i idealni su za kori\u0161tenje u preduze\u0107ima srednje veli\u010dine.<\/span><\/p>\n

Primije\u0107eno je do sada oko 100 zara\u017eenih ure\u0111aja povezanih sa ovom kampanjom. To je otprilike oko 2% od ukupnog broja DrayTek Vigor 2960 <\/em>i Vigor 3900 <\/em>rutera koji su trenutno izlo\u017eeni Internetu. Ovo navodi na zaklju\u010dak, da zlonamjerni akter namjerno kontroli\u0161e situaciju, odr\u017eavaju\u0107i minimalni digitalni otisak kako bi ograni\u010dio svoju izlo\u017eenost i zadr\u017eao kriti\u010dne pristupne ta\u010dke koje trenutno ima pod kontrolom. Prikupljen je i mali broj podataka o kompromitovanim ruterima koji se koriste kao proxy<\/em> infrastruktura, ali\u00a0 i za tajno prikupljanje podataka i prikrivanje zlonamjernog softvera.<\/span><\/p>\n

 <\/p>\n

Karakteristike<\/strong><\/span><\/h4>\n

Prilikom analize zlonamjernog softvera obrnutim in\u017einjeringom sigurnosni istra\u017eiva\u010di su otkrili sljede\u0107e karakteristike:<\/span><\/p>\n

 <\/p>\n