май 3, 2024

Cuttlefish: скрият морски шпионин директно във вашия рутер

Никоя парола не убягва на сложната цифрова каракуда.

Нов тип зловреден софтуер, наречен Cuttlefish, е открит в рутерите в големи предприятия и малки офиси. Той следи цялата информация, преминаваща през заразените устройства, и краде данните за достъп.

Black Lotus Labs съобщава, че Cuttlefish създава прокси или VPN тунел директно в рутера, за да прехвърля тайно данни. При това заобикаля системите за откриване, които улавят подозрителните логвания.

Зловредният софтуер прихваща DNS и HTTP заявките в рамките на частните мрежи, като нарушава вътрешните комуникации и изтегля допълнителни зловредни модули.

Въпреки сходството на част от кода на Cuttlefish с HiatusRat, който е използван в кампании, свързани с китайски интереси, не е установена пряка връзка между двете програми.

Cuttlefish действа от юли 2023 г. и е най-активна в Турция, но засяга съседните държави, както и сателитните услуги и центровете за данни в някои други региони.

Методът на първоначално заразяване на маршрутизаторите все още не е установен, но вероятно се използват известни уязвимости или подбор на данните за логването. След като се получи достъп до маршрутизатора, се стартира bash скрипт, който започва да събира данни от хоста. Включително и списък с директории, активни процеси и връзки.

Изтегленият скрипт изпълнява основния полезен товар на Cuttlefish. Той се зарежда в паметта, за да се избегне откриването му, а файлът незабавно се изтрива от файловата система.

Според Black Lotus Labs съществуват различни версии на Cuttlefish. Както за ARM, i386 и други архитектури. Като цяло тази разновидност обхваща много видове маршрутизатори.

Зловредният софтуер използва филтри за мрежовите пакети, за да следи всички връзки. След като открие определени данни, той извършва действия в съответствие с предварително определени правила, които редовно се актуализират от сървъра за управление.

Cuttlefish активно претърсва трафика за удостоверителни знаци като потребителски имена, пароли и токени, особено такива, свързани с облачните услуги. Уловените данни се съхраняват локално и се изпращат на хакерите, когато достигнат определен обем. Засега няма информация към сървърите на кои държави се изпращат тези данни.

За да се предпазят от Cuttlefish, мрежовите администратори препоръчват да се избягват слабите пароли. Да се контролират необичайните логвания. Да се използват сигурни TLS/SSL протоколи. Да се проверяват за подозрителни файлове и периодично да се извършва рестартиране на устройствата.

Освен това, особено при евтините маршрутизатори, не е излишно редовно да се проверява за актуализации на фърмуера. Както и да се блокира отдалеченият достъп до интерфейса за управление. Препоръчва се и своевременна подмяна на устройствата при изтичане на срока на поддръжка.

source

Сподели: