Um inusitadamente avançado grupo de hackers passou quase dois anos infectando uma ampla gama de roteadores na América do Norte e Europa com malware que assume o controle total de dispositivos conectados executando Windows, macOS e Linux, relataram pesquisadores em 28 de junho de 2022.
Até agora, pesquisadores do Black Lotus Labs da Lumen Technologies dizem ter identificado pelo menos 80 alvos infectados pelo malware furtivo, incluindo roteadores feitos pela Cisco, Netgear, Asus e DrayTek. Apelidado de ZuoRAT, o Trojan de acesso remoto faz parte de uma campanha de hackers mais ampla que existe desde pelo menos o quarto trimestre de 2020 e continua em operação.
Alto nível de sofisticação
A descoberta de malware personalizado escrito para a arquitetura MIPS e compilado para roteadores de pequenos escritórios e escritórios domésticos é significativa, principalmente devido à sua variedade de recursos. Sua capacidade de enumerar todos os dispositivos conectados a um roteador infectado e coletar as pesquisas de DNS e o tráfego de rede que eles enviam e recebem e permanecem indetectáveis é a marca registrada de um agente de ameaças altamente sofisticado.
"Embora comprometer roteadores SOHO como um vetor de acesso para obter acesso a uma LAN adjacente não seja uma técnica nova, raramente foi relatado", pesquisadores do Black Lotus Labs escreveu. "Da mesma forma, relatos de ataques do tipo pessoa no meio, como seqüestro de DNS e HTTP, são ainda mais raros e marcam uma operação complexa e direcionada. O uso dessas duas técnicas demonstrou congruentemente um alto nível de sofisticação por um ator de ameaça, indicando que esta campanha foi possivelmente realizada por uma organização patrocinada pelo Estado."
A campanha inclui pelo menos quatro malwares, três deles escritos do zero pelo agente da ameaça. A primeira peça é o ZuoRAT baseado em MIPS, que se assemelha muito ao Malware de Internet das Coisas Mirai que conseguiu ataques distribuídos de negação de serviço recordes este paralisou alguns serviços de Internet por dias. O ZuoRAT geralmente é instalado explorando vulnerabilidades não corrigidas em dispositivos SOHO.
Uma vez instalado, o ZuoRAT enumera os dispositivos conectados ao roteador infectado. O agente da ameaça pode então usar Sequestro de DNS e seqüestro HTTP para fazer com que os dispositivos conectados instalem outro malware. Duas dessas peças de malware - apelidadas de CBeacon e GoBeacon - são feitas sob medida, com a primeira escrita para Windows em C++ e a última escrita em Go para compilação cruzada em dispositivos Linux e macOS. Para flexibilidade, o ZuoRAT também pode infectar dispositivos conectados com a ferramenta de hacking Cobalt Strike amplamente utilizada.
ZuoRAT pode direcionar infecções para dispositivos conectados usando um dos dois métodos:
- Sequestro de DNS, que substitui os endereços IP válidos correspondentes a um domínio como Google ou Facebook por um mal-intencionado operado pelo invasor.
- Sequestro de HTTP, no qual o malware se insere na conexão para gerar um erro 302 que redireciona o usuário para um endereço IP diferente.
Intencionalmente Complexo
A Black Lotus Labs disse que a infraestrutura de comando e controle usada na campanha é intencionalmente complexa na tentativa de esconder o que está acontecendo. Um conjunto de infraestrutura é usado para controlar roteadores infectados e outro é reservado para os dispositivos conectados se forem infectados posteriormente.
Os pesquisadores observaram roteadores de 23 endereços IP com uma conexão persistente com um servidor de controle que eles acreditam estar realizando uma pesquisa inicial para determinar se os alvos eram de interesse. Um subconjunto desses 23 roteadores interagiu posteriormente com um servidor proxy baseado em Taiwan por três meses. Um outro subconjunto de roteadores mudou para um servidor proxy baseado no Canadá para ofuscar a infraestrutura do invasor.