0
0
Um agente de ameaça desconhecido comprometeu discretamente roteadores DrayTek de nível empresarial na Europa, América Latina e América do Norte, equipando-os com um trojan de acesso remoto (apelidado de HiatusRAT) e um programa de captura de pacotes.
“Os modelos afetados são roteadores de alta largura de banda que podem oferecer suporte a conexões VPN para centenas de funcionários remotos e oferecem capacidade ideal para empresas médias e de médio porte. Suspeitamos que o ator infecte alvos de interesse para coleta de dados e alvos de oportunidade com o objetivo de estabelecer uma rede proxy secreta”, afirmaram os pesquisadores da Lumen .
Como isso aconteceu?
Os pesquisadores não conseguiram identificar como o agente da ameaça comprometeu os dispositivos, mas sabem o que acontece a seguir: um script bash implantado recupera o HiatusRAT e uma variante do tcpdump .
O HiatusRAT permite que o agente da ameaça baixe arquivos ou execute comandos no roteador e serve como um dispositivo proxy SOCKS5. Ele é capaz de coletar informações sobre o roteador: informações no nível do sistema, como endereço MAC e versão do firmware, bem como informações sobre outros arquivos e processos em execução nele. Mas também pode coletar informações de rede para identificar endereços IP e MAC locais de outros dispositivos na LAN adjacente, o que pode ser útil posteriormente.
Algumas de suas funções são comuns, descobriram os pesquisadores, mas outras foram especificamente construídas para fazer coisas como permitir comunicações ofuscadas e imitar o comportamento legítimo para minimizar a detecção.
A variante tcpdump permite que o ator monitore o tráfego nas portas (21, 25, 110, 143) associadas a e-mails e comunicações de transferência de arquivos da LAN adjacente e capture pacotes de dados. Os pesquisadores suspeitam que portas adicionais podem ser adicionadas a essa lista “se o agente da ameaça identificar uma vítima de alto interesse”.
A campanha
De acordo com a telemetria da Lumen, a campanha resultou no comprometimento bem-sucedido de cerca de 100 roteadores.
“Isso representa aproximadamente 2% do número total de roteadores DrayTek 2960 e 3900 atualmente expostos à Internet. Isso sugere que o agente da ameaça está intencionalmente mantendo uma pegada mínima para limitar sua exposição e manter pontos críticos de presença”, observaram os pesquisadores.
“Como não observamos nenhuma sobreposição ou correlação entre o HiatusRAT e nenhum relatório público, avaliamos que o HiatusRAT é um cluster único.”
Os roteadores comprometidos provavelmente pertencem a empresas de médio porte que os usam como gateway para sua rede corporativa ou organizações menores de interesse dentro do alcance dos clientes do ISP.
“Algumas das verticais impactadas incluem produtos farmacêuticos, serviços de TI/empresas de consultoria e um governo municipal, entre outros. Suspeitamos que as empresas de TI foram escolhidas para permitir o acesso downstream aos ambientes do cliente, que podem ser ativados a partir de dados coletados, como o tráfego de e-mail reunido pelo binário de captura de pacotes”.
A campanha foi muito discreta e as organizações podem ter problemas para detectar um dispositivo comprometido. A Lumen compartilhou indicadores de comprometimento para ajudá-los a verificar se o roteador está entre os 100 ou mais que foram atingidos.
FONTE: HELPNET SECURITY