Dünya çapındaki orta ölçekli işletmelerde DrayTek yönlendiricilerini hedef alan yeni kötü amaçlı yazılım içeren bir siber casusluk kampanyası ortaya çıkarıldı.
Çoğu casus yazılım girişiminden farklı olarak, Lumen Black Lotus Labs tarafından “Hiatus” olarak adlandırılan bu kampanyanın iki hedefi vardır: hedefli saldırılarda veri çalmak ve gizli bir komuta ve kontrol (C2) altyapısının parçası olmak için yönlendiricileri birlikte kullanmak. izlemesi zor proxy kampanyaları oluşturmak.
Black Lotus’tan Hiatus’ta bu hafta yapılan bir analize göre, tehdit aktörleri bir i368 mimarisi çalıştıran DrayTek Vigor modelleri 2960 ve 3900’ü hedeflemek için bilinen güvenlik açıklarını kullanıyor. Saldırganlar uzlaşma sağladıktan sonra, yönlendiricilere iki benzersiz, kötü amaçlı ikili dosya yerleştirebilirler.
İlki, kurbanın bitişik LAN’ındaki e-posta ve dosya aktarım iletişimleriyle ilişkili bağlantı noktalarındaki yönlendirici trafiğini izleyen tcpdump adlı bir casusluk yardımcı programıdır. Yönlendiriciden geçerken bu açık metin e-posta içeriğini pasif olarak toplama yeteneğine sahiptir.
Rapora göre, “Daha yerleşik, orta ölçekli işletmeler kendi posta sunucularını çalıştırıyor ve bazen özel internet hatlarına sahipler.” “Bu ağlar, yerel ağdaki e-posta sunucularından gelen trafiği halka açık internete yönlendiren kurumsal ağlarının ağ geçidi olarak DrayTek yönlendiricilerini kullanıyor.”
İkinci ikili dosya, siber saldırganların yönlendiricilerle uzaktan etkileşime girmesine, dosya indirmesine veya rasgele komutlar çalıştırmasına olanak tanıyan HiatusRAT adlı bir uzaktan erişim Truva Atı’dır (RAT). Ayrıca, tehdit aktörlerinin virüs bulaşmış bir Hiatus kurbanının makinesi aracılığıyla diğer kötü amaçlı yazılım bulaşma kümelerini kontrol etmek için kullanabileceği iki proxy işlevi de dahil olmak üzere bir dizi önceden oluşturulmuş işleve sahiptir.
HiatusRAT’ın Proxy İşlevleri
Black Lotus raporuna göre, iki proxy komutu “Hiatus kurbanları aracılığıyla diğer makinelerden (başka bir RAT ile enfekte olanlar gibi) gizlenmiş iletişim sağlamak için amaca yönelik olarak oluşturuldu”.
Bunlar:
- çorap5: Güvenliği ihlal edilmiş yönlendiricide bir SOCKS sürüm 5 proxy’si kurar.
- tcp_forward: Proxy kontrolü için bu, belirli bir dinleme bağlantı noktasını, yönlendirme IP’sini ve yönlendirme bağlantı noktasını alır ve güvenliği ihlal edilmiş ana bilgisayardaki dinleme bağlantı noktasına gönderilen tüm TCP verilerini iletme konumuna iletir. Gönderen ile belirtilen yönlendirme IP’si arasında çift yönlü iletişime izin vermek için iki iş parçacığı oluşturur.
Lumen Black Lotus’un baş tehdit araştırmacısı Danny Adamitis, yönlendiriciyi bir SOCKS5 proxy cihazına dönüştürme yeteneği “tehdit aktörünün virüslü yönlendiriciler aracılığıyla Web kabukları gibi kötü niyetli, pasif arka kapılarla bir orta nokta olarak etkileşime girmesine izin veriyor” diye açıklıyor. “Arka kapılar ve Web kabukları için iletişim olarak güvenliği ihlal edilmiş bir yönlendirici kullanmak, tehdit aktörlerinin coğrafi eskrim tabanlı savunma önlemlerini atlamasına ve ağ tabanlı algılama araçlarında işaretlenmekten kaçınmasına olanak tanır.”
Bu arada TCP işlevi, rapora göre, “yönlendiricinin ayrı bir cihazda kötü amaçlı yazılım için bir C2 IP adresi olmasına izin verecek”, diğer virüslü makinelerdeki işaretçileri yönlendirmek veya diğer RAT’lerle etkileşim kurmak için tasarlandı.
Tüm bunlar, kuruluşların bir hedef olarak değerlerini hafife almamaları gerektiği anlamına geliyor, raporda şunlar kaydedildi: “İnternet’i kullanan bir yönlendiricisi olan herkes potansiyel olarak Hiatus için bir hedef olabilir – başka bir kampanya için vekil olarak kullanılabilirler – Yönlendiricinin sahibi olan varlık, kendisini bir istihbarat hedefi olarak görmez.”
Çeşitli Hiatus Mağdurları
Kampanya olağandışı bir şekilde küçüktür ve çoğunluğu Avrupa ve Latin Amerika’da olmak üzere yalnızca yaklaşık 100 kurbanı enfekte etmiştir.
Adamitis’e göre “Bu, şu anda İnternet’e açık olan toplam DrayTek 2960 ve 3900 yönlendirici sayısının yaklaşık %2’si.” “Bu, tehdit aktörünün maruz kalmalarını sınırlamak ve kritik varlık noktalarını korumak için kasıtlı olarak minimum ayak izini koruduğunu gösteriyor.”
Araştırmacı, casusluk açısından kurbanlardan bazılarının “etkinleştirme hedefleri” olduğunu söylüyor ve bunlara BT hizmeti ve danışmanlık firmaları da dahil.
Adamitis, “Tehdit aktörlerinin, müşterilerinin ortamlarıyla ilgili hassas bilgilere erişim elde etmek için bu kuruluşları hedef aldığına inanıyoruz” diyor.
İkinci bir grup mağdurun, “belediye hükümet kuruluşları ve enerji sektöründe yer alan bazı kuruluşlar dahil olmak üzere” veri hırsızlığı için doğrudan çıkar hedefleri olarak kabul edilebileceğini ekliyor.
Birincil kurbanların sayısı az olsa da, veri hırsızlığının kapsamı, Hiatus’un arkasındaki suçlunun gelişmiş bir sürekli tehdit olduğunu gösteriyor.
Adamitis, “Bu erişimlerden toplanacak veri miktarına dayanarak, aktörün iyi kaynaklara sahip olduğuna ve büyük hacimli verileri işleme yeteneğine sahip olduğuna inanmamıza yol açıyor, bu da devlet destekli bir aktör olduğunu düşündürüyor” diyor.
Aradan Ne Öğrenmeliyiz?
İşletmeler için temel paket, geleneksel çevre güvenliği fikrinin yönlendiricileri içerecek şekilde uyarlanması gerektiğidir.
Adamitis, “Veri toplama için yönlendirici kullanmanın faydaları, bunların izlenmemesi ve tüm trafiğin bunlar üzerinden geçmesidir” diye açıklıyor. “Bu, genellikle kurumsal ağlarda dağıtılan uç nokta algılama ve yanıt (EDR) ve güvenlik duvarı korumalarına sahip Windows makineleri ve posta sunucularının aksinedir. Bu izleme eksikliği, tehdit aktörünün doğrudan etkileşime girmeden elde edilebilecek bilgilerin aynısını toplamasına olanak tanır. üzerlerinde EDR ürünleri önceden yüklenmiş olabilecek herhangi bir varlıkla.”
Kendilerini korumak için işletmelerin, yönlendiricilerin “diğer herhangi bir çevre aygıtı gibi rutin olarak kontrol edildiğinden, izlendiğinden ve yamalandığından” emin olmaları gerektiğini söylüyor.
Kuruluşlar harekete geçmeli: Hiatus ikili dosyaları ilk olarak geçen Temmuz ayında görüldü ve yeni enfeksiyonlar en azından Şubat ortasına kadar devam ediyor. Saldırılar, kötü amaçlı yazılımın 1.5 sürümünü kullanıyor ve bu da Temmuz’dan önce 1.0 sürümünü kullanan etkinlikler olabileceğini gösteriyor. Black Lotus, faaliyetin devam etmesini tamamen beklediğini söyledi.