Исследователи считают, что ZuoRAT, следящий за маршрутизаторами, скорее всего, дело рук неких правительственных хакеров
Необычно продвинутая хакерская группа потратила почти два года, заражая широкий спектр маршрутизаторов в Северной Америке и Европе вредоносным ПО, которое получает полный контроль над подключенными устройствами под управлением Windows, macOS и Linux.
На данный момент исследователи из Black Lotus Labs компании Lumen Technologies говорят, что выявили не менее 80 целей, зараженных скрытой вредоносной программой, заражающей маршрутизаторы Cisco, Netgear, Asus и DrayTek. Троянец удаленного доступа, получивший название ZuoRAT, является частью более широкой хакерской кампании, которая существует как минимум с четвертого квартала 2020 года и продолжает действовать.
Начало этой кампании совпало с повсеместным переходом на удаленную работу после начала пандемии COVID-19, что резко увеличило количество маршрутизаторов (включая устройства Asus, Cisco, DrayTek и NETGEAR), используемых сотрудниками для удаленного доступа к корпоративным сетям.
Обнаружение специально созданного вредоносного ПО, написанного для архитектуры MIPS и скомпилированного для маршрутизаторов малого и домашнего офиса, имеет большое значение, особенно с учетом его возможностей — способности перечислять все устройства, подключенные к зараженному маршрутизатору, и собирать DNS-запросы и сетевой трафик, которые они отправляют и получают, и оставаться незамеченным.
Более 100 млн гривен похитили киберпреступники у украинцев под видом выплат финпомощи
Первоначальный доступ к роутерам хакеры получали путем поиска известных неисправленных уязвимостей, которые затем применялись для загрузки инструмента удаленного доступа. Получив доступ к сети, злоумышленники доставляли жертве загрузчик шелл-кода для следующего этапа атаки, который уже применялся для доставки Cobalt Strike и кастомных бэкдоров, включая CBeacon и GoBeacon, которые были способны выполнять произвольные команды.
Исследователи отмечают, что как и большинство малвари для маршрутизаторов, ZuoRAT не выдерживает перезагрузки. Простой перезапуск зараженного устройства удалит исходный эксплоит ZuoRAT, хранящийся во временном каталоге. Однако для полного восстановления зараженных дейвасов эксперты советуют осуществить сброс к заводским настройкам. Также подчеркивается, что подключенные к взломанному роутеру устройства могут быть заражены уже другим вредоносным ПО, и вылечить их столь же просто не получится.
Ранее мы писали о том, что делать, если случайно открыли ссылку с вирусом. Открытие ссылки с вирусом не означает, что все сохраненные файлы на компьютере обязательно будут потеряны. В большинстве случаев можно устранить проблему без потери данных.
ЧИТАЙТЕ ТАКЖЕ:
- Прослушка и удаленный доступ: Google выявил в Италии опасный вирус, поражающий мобильные устройства
- Украинцы на временно оккупированных территориях смогут бесплатно воспользоваться ClearVPN при помощи приложения «Дія»
- Техногиганты возглавят борьбу с дезинформацией в интернете