A ZuoRAT támadás az ismert, CVE-2020-26878 és CVE-2020-26879 sebezhetőségek kihasználásával kezdődik egy Python által lefordított Windows Portable Executable fájl segítségével a routerek megcélzására. A kutatók azonban csak a JCG-Q20 típusú routereket kihasználó szkripthez tudtak hozzáférni, ezért lehetséges, hogy vannak további, még nem ismertexploit-ok. A rosszindulatú program számos webszolgáltatást lekérdez, hogy megszerezze a router nyilvános IP-címét. Ha ez nem sikerül, a ZuoRAT törli magát.
Valószínű, hogy a támadó javítatlan sebezhetőségeket használt fel, hogy hitelesítő adatokat lopjon el a megcélzott routerektől. Bár léteznek patchek ezekhez a sérülékenységekhez, a rendszergazdák ezen kishálózati és otthoni eszközökön általában nem hajtják végre a frissítéseket.
Ki áll a támadás mögött?
Noha nem egyedi az a fenyegetéstechnika, amely a kishálózati routereket kompromittálja a helyi hálózathozhoz való hozzáférés érdekében, mégis ritkán számolnak be róla. A kutatók szerint a DNS- és HTTP-eltérítéshez hasonló közbeékelődéses támadásokról szóló jelentések még ritkábbak, valamint összetett és célzott műveletekre utalnak. E két technika egyidejű alkalmazása arra utal, hogy ezt a kampányt valószínűleg egy államilag támogatott kiberbűnözői csoport hajtotta végre.
Következtetés
Bár a rosszindulatú szereplők sokféle módon célozzák meg a hálózatokat, a router alapú kártékony program ritka jelenség, és a támadás éppen ezért évek óta rejtve maradhatott a célzott hálózatok peremén.
Ezért kulcsfontosságú, hogy a felhasználók – és különösen a magánszemélyek és a kisvállalkozások – védjék forgalmukat a belépési ponton: a routereken. A legtöbb otthoni és kisvállalati hálózat túl kicsi ahhoz, hogy a rendszergazdák védekező intézkedéseket, például mikroszegmentációt alkalmazzanak rajtuk.
A fenyegetéssel kapcsolatos kompromittáltsági indikátorok jellemzően IP-címek. Éppen ezért a DNS-alapú biztonsági megoldások nem nyújtanak megfelelő védelmet, hiszen azok nem blokkolják az IP-címeket.
A jó hír az, hogy az Allot Secure-t (beleértve a NetworkSecure-t, valamint a router-alapú HomeSecure-t és BusinessSecure-t) használó ügyfelek védettek a támadás ellen. Az Allot megoldásaival kapcsolatban keresse bizalommal a RelNet munkatársait. A RelNet ugyanis az Allot hivatalos disztribútora Magyarországon.
Forrás
What is ZuoRAT?
Kapcsolódó tartalom
Allot képzések a RelNet eLearning programban