Bilinmeyen bir tehdit aktörü, Avrupa, Latin ve Kuzey Amerika’daki iş sınıfı DrayTek yönlendiricilerini gizlice ele geçirerek onları bir uzaktan erişim truva atı (HiatusRAT olarak adlandırılır) ve bir paket yakalama programı ile donattı.
“Etkilenen modeller, yüzlerce uzak çalışan için VPN bağlantılarını destekleyebilen ve ortalama, orta ölçekli işletmeler için ideal kapasite sunan yüksek bant genişliğine sahip yönlendiricilerdir. Lumen araştırmacıları, aktörün veri toplamak için ilgili hedeflere ve gizli bir proxy ağı kurmak amacıyla fırsat hedeflerine bulaştığından şüpheleniyoruz.
Nasıl oldu?
Araştırmacılar, tehdit aktörünün cihazları nasıl ele geçirdiğini tam olarak belirleyemediler, ancak bundan sonra ne olacağını biliyorlar: dağıtılan bir bash betiği, HiatusRAT’ı ve bir tcpdump varyantını alır.
HiatusRAT, tehdit aktörünün yönlendirici üzerinde dosya indirmesine veya komutları çalıştırmasına izin verir ve bir SOCKS5 proxy cihazı olarak hizmet eder. Yönlendirici hakkında bilgi toplama yeteneğine sahiptir: MAC adresi ve üretici yazılımı sürümü gibi sistem düzeyinde bilgiler ve ayrıca üzerinde çalışan diğer dosyalar ve işlemler hakkında bilgiler. Ancak, bitişik LAN’daki diğer cihazların yerel IP ve MAC adreslerini belirlemek için ağ bilgilerini de toplayabilir, bu daha sonraki bir tarihte kullanışlı olabilir.
Araştırmacılar, işlevlerinden bazılarının ortak olduğunu, ancak diğerlerinin, algılanmayı en aza indirmek için gizlenmiş iletişimleri etkinleştirmek ve meşru davranışları taklit etmek gibi şeyleri yapmak için özel olarak inşa edildiğini buldu.
tcpdump değişkeni, aktörün bitişik LAN’dan e-posta ve dosya aktarım iletişimleriyle ilişkili bağlantı noktalarındaki (21, 25, 110, 143) trafiği izlemesine ve veri paketlerini yakalamasına olanak tanır. Araştırmacılar, “tehdit aktörü yüksek öneme sahip bir kurban tespit ederse” bu listeye ek bağlantı noktalarının eklenebileceğinden şüpheleniyor.
Kampanya
Lumen’in telemetrisine göre, kampanya yaklaşık 100 yönlendiricinin başarılı bir şekilde ele geçirilmesiyle sonuçlandı.
“Bu, şu anda internete açık olan toplam DrayTek 2960 ve 3900 yönlendirici sayısının yaklaşık %2’si. Bu, tehdit aktörünün maruz kalmalarını sınırlamak ve kritik varlık noktalarını korumak için kasıtlı olarak minimum ayak izini koruduğunu gösteriyor” dedi.
“HiatusRAT ile herhangi bir kamuya açık raporlama arasında herhangi bir örtüşme veya korelasyon gözlemlemediğimiz için, HiatusRAT’ın benzersiz bir küme olduğunu değerlendiriyoruz.”
Güvenliği ihlal edilmiş yönlendiriciler, büyük olasılıkla bunları kurumsal ağlarına veya ISP müşteri aralığındaki daha küçük kuruluşlara ağ geçidi olarak kullanan orta ölçekli işletmelere aittir.
“Etkilenen sektörlerden bazıları, diğerlerinin yanı sıra ilaçlar, BT hizmetleri/danışmanlık firmaları ve bir belediye yönetimini içeriyor. BT firmalarının, paket yakalama ikili sistemi tarafından toplanan e-posta trafiği gibi toplanan verilerden etkinleştirilebilecek müşteri ortamlarına aşağı akış erişimini sağlamak için seçildiğinden şüpheleniyoruz.
Kampanya çok sadeydi ve kuruluşlar güvenliği ihlal edilmiş bir cihazı tespit etmekte sorun yaşayabilir. Lumen, yönlendiricilerinin saldırıya uğrayan 100 kadar kişi arasında olup olmadığını kontrol etmelerine yardımcı olmak için uzlaşma göstergelerini paylaştı.