close-btn

Широкий спектр маршрутизаторов подвергается атакам нового правительственного вируса

Исследователи считают, что ZuoRAT, следящий за маршрутизаторами, скорее всего, дело рук неких правительственных хакеров

https://arstechnica.com/

Необычно продвинутая хакерская группа потратила почти два года, заражая широкий спектр маршрутизаторов в Северной Америке и Европе вредоносным ПО, которое получает полный контроль над подключенными устройствами под управлением Windows, macOS и Linux.

На данный момент исследователи из Black Lotus Labs компании Lumen Technologies говорят, что выявили не менее 80 целей, зараженных скрытой вредоносной программой, заражающей маршрутизаторы Cisco, Netgear, Asus и DrayTek. Троянец удаленного доступа, получивший название ZuoRAT, является частью более широкой хакерской кампании, которая существует как минимум с четвертого квартала 2020 года и продолжает действовать.

Начало этой кампании совпало с повсеместным переходом на удаленную работу после начала пандемии COVID-19, что резко увеличило количество маршрутизаторов (включая устройства Asus, Cisco, DrayTek и NETGEAR), используемых сотрудниками для удаленного доступа к корпоративным сетям.

Обнаружение специально созданного вредоносного ПО, написанного для архитектуры MIPS и скомпилированного для маршрутизаторов малого и домашнего офиса, имеет большое значение, особенно с учетом его возможностей — способности перечислять все устройства, подключенные к зараженному маршрутизатору, и собирать DNS-запросы и сетевой трафик, которые они отправляют и получают, и оставаться незамеченным.

Более 100 млн гривен похитили киберпреступники у украинцев под видом выплат финпомощи

Первоначальный доступ к роутерам хакеры получали путем поиска известных неисправленных уязвимостей, которые затем применялись для загрузки инструмента удаленного доступа. Получив доступ к сети, злоумышленники доставляли жертве загрузчик шелл-кода для следующего этапа атаки, который уже применялся для доставки Cobalt Strike и кастомных бэкдоров, включая CBeacon и GoBeacon, которые были способны выполнять произвольные команды.

Исследователи отмечают, что как и большинство малвари для маршрутизаторов, ZuoRAT не выдерживает перезагрузки. Простой перезапуск зараженного устройства удалит исходный эксплоит ZuoRAT, хранящийся во временном каталоге. Однако для полного восстановления зараженных дейвасов эксперты советуют осуществить сброс к заводским настройкам. Также подчеркивается, что подключенные к взломанному роутеру устройства могут быть заражены уже другим вредоносным ПО, и вылечить их столь же просто не получится.

Ранее мы писали о том, что делать, если случайно открыли ссылку с вирусом. Открытие ссылки с вирусом не означает, что все сохраненные файлы на компьютере обязательно будут потеряны. В большинстве случаев можно устранить проблему без потери данных.

ЧИТАЙТЕ ТАКЖЕ: 

 

google news
credit link image
×
Подписывайтесь на нас в Telegram и Viber!