Güvenlik araştırmacıları, şu anda Avrupa ve Kuzey Amerika’da çok çeşitli küçük ofis-ev ofis (SOHO) yönlendiricilerine karşı kullanılan çok aşamalı bir uzaktan erişim Truva Atı (RAT) keşfetti – potansiyel olarak devlet destekli bir aktörün çalışması.
Araştırmacılar, kampanya sırasında şimdiye kadar en az 80 kurbanın enfekte olduğuna inanıyor.
Lumen Technologies’in tehdit istihbarat kolu olan Black Lotus Labs’e göre ZuoRAT olarak bilinen kötü amaçlı yazılım 2020’den beri aktif.
Göre bildiri, kötü amaçlı yazılım, bilinen güvenlik açıkları için açıklardan yararlanma yoluyla yönlendiricilere girer. Ayrıca ağdaki diğer cihazlara da bulaşabilir ve DNS ve HTTP ele geçirme yoluyla ek kötü amaçlı yazılımlar sunabilir.
“ZuoRAT, bir ana bilgisayarı ve dahili LAN’ı sıralayabilen, virüslü cihaz üzerinden iletilen paketleri yakalayabilen ve ortadaki kişi saldırıları (önceden tanımlanmış kurallara dayalı olarak DNS ve HTTPS ele geçirme) gerçekleştirebilen SOHO yönlendiricileri için derlenmiş bir MIPS dosyasıdır.” Lumen’in tehdit istihbarat ekibi, kötü amaçlı yazılım hakkında bir blog yazısı yazdı.
Truva Atı Cisco ve Netgear Yönlendiricileri Hedefliyor
Kötü amaçlı yazılım, Cisco, Netgear, Asus ve DrayTek’ten yönlendiricileri hedefliyor, ancak rapor bireysel yönlendirici modellerini belirtmeyi reddetti.
Araştırma ekibi, bitişik bir LAN’a erişim elde etmek için SOHO yönlendiricilerinden bir erişim vektörü olarak ödün vermenin yeni bir teknik olmadığını, nadiren rapor edildiğini kaydetti.
“DNS ve HTTP korsanlığı gibi ortadaki kişi tarzı saldırıların raporları, [rare] ve karmaşık ve hedefli bir operasyonun işareti” diye devam etti. “Bu iki tekniğin kullanılması, uyumlu bir şekilde, bir tehdit aktörü tarafından yüksek düzeyde gelişmişlik gösterdi ve bu, bu kampanyanın muhtemelen devlet destekli bir örgüt tarafından gerçekleştirildiğini gösteriyor.”
Lumen Black Lotus Labs’in baş bilgi güvenliği mühendisi Danny Adamitis’in bakış açısından, bu kampanyanın karmaşıklığı, özellikle de virüslü cihazları ve bunların bağlı oldukları LAN’ları numaralandırma yeteneği ve ek hedefleme için paket yakalama ağ trafiği göz ardı edilemez. .
“Ayrıca, çok aşamalı kampanya, komuta ve kontrolü karartmak ve algılamadan kaçınmak için birden fazla tamamen işlevsel Truva atının yanı sıra karmaşık ve gizli C2 ve proxy C2 altyapısını içeriyor, bu yüzden yaklaşık iki yıldır algılanmadı” diye ekliyor. .
Saldırıya Uğramış Cihazlarda Bulunan Diğer Truva Atları
Adamitis’e göre, araştırmacılar saldırıya uğramış cihazlarda iki Truva atı daha buldular. Biri C++ ve hedeflenen Windows iş istasyonlarını temel alıyordu. Diğer Truva Atı, Go programlama diline dayanıyordu ve Windows’un yanı sıra Linux ve macOS’a da saldırdı.
Diğer şeylerin yanı sıra, saldırganların yeni işlemler başlatmasına, virüslü sistemlere kalıcı erişim elde etmesine, ağ trafiğine müdahale etmesine ve rastgele dosyalar yüklemesine veya indirmesine izin verdiler.
Ev Ofisini Güvenli Hale Getirin
Yakın tarihli bir ankete göre, ankete katılanların yaklaşık dörtte biri (%23) 2022 için en önemli öncelikleri olarak uzaktan iş gücünü güvence altına almayı belirtti. Yönlendiriciler, evdeki BT ayak izinin geri kalanı için merkezi yol noktaları olarak hareket ettikleri için bunun önemli bir parçası. .
Echelon’daki saldırgan güvenlik ekibi lideri Dahvid Schloss, e-posta yoluyla, “Yönlendiriciye bağlandığınızda, ona bağlı olan herhangi bir cihazda dürtmek ve prod yapmak için tam güvenilir bir bağlantınız var” dedi. “Oradan, ağa istismarlar atmak için proxy zincirlerini kullanmayı deneyebilir veya sadece ağa giren, çıkan ve ağ etrafındaki tüm trafiği izleyebilirsiniz.”
Bu nedenle, evden çalışma vardiyasının bir parçası olarak, HP gibi bazı büyük satıcılar, uzaktan izleme, algılama ve kendini – uzak şirket cihazlarını iyileştirin.
Adamitis, “Tüketici yönlendirici alanı hedefleme için olgunlaştı çünkü bu cihazlar geleneksel güvenlik çevresinin dışında bulunuyor ve nadiren izleniyor veya yama uygulanıyor” diye ekliyor. “Bu, yalnızca pandeminin başlangıcında uzaktan çalışmaya hızlı geçişle daha da kötüleşiyor.”
Olay müdahale uzmanı BreachQuest’in güvenlik operasyonları direktörü Alex Ondrick, tüketici sınıfı yönlendiriciler için genel güvenlik kontrollerinin eksikliğinin ve onlar için yama/güncelleme “zorla” konusundaki zorlukların, SOHO yönlendiricilerini özellikle savunmasız hale getirdiğini söylüyor.
“Bir SOHO yönlendiricisine yama uygulanmamışsa veya bilinen güvenlik kusurlarına karşı savunmasızsa, ZuoRAT, keşif ve kimlik doğrulama baypas komut dosyası ve yanal hareket yeteneklerinin tehlikeli bir kombinasyonunu oluşturur” diye açıklıyor.
İnsan Güvenlik Duvarını Destekleme
Ondrick, SOHO yönlendirici tehdidinin, kuruluşların güvenlik bilinci programlarını genişletmeleri ve kullanıcıları arasında değerli geliştirilmiş güvenlik önlemlerini yaymaları için bir fırsat olduğunu ekliyor.
“Kullanıcıları ev ağlarını, parolalarını, finansal bilgilerini ve ailelerini nasıl koruyacakları konusunda eğitmek, katılımlarını artırır ve ofise geri götürdükleri siber güvenlik hijyeni ve zekasını geliştirir ve kuruluşun saldırı yüzeyini azaltır ve daha iyi insan güvenlik duvarını oluşturur, ” diyor.
SOHO kullanıcılarının yönlendiricilerinin donanım yazılımını düzenli olarak güncellemeleri ve cihazlarının mümkün olan her yerde birden fazla güvenlik katmanının (derinlemesine savunma) arkasında olmasını sağlamaları gerektiğini söylüyor.
Ev yönlendiricileri için, mümkün olan her yerde ana bilgisayar tabanlı ağ güvenliğinin yanı sıra satıcının yerleşik güvenlik özelliklerinden yararlanmanın önemli olduğunu söylüyor.
“Ev yönlendiricinizi düzenli olarak güncellenmesi gereken ‘başka’ bir cihaz olarak düşünün ve onu sizinle halka açık İnternet arasındaki ‘ilk savunma hattı’ olarak düşünün” diyor. “SOHO yönlendirici güvenliğinde herhangi bir atılım beklerken, yönlendiricinizin donanım yazılımındaki güncellemeleri kontrol etmek için telefonunuza veya takviminize yılda iki kez yinelenen bir hatırlatıcı eklemeyi düşünün.”
