Il rapido switch dal lavoro in office a quello a distanza a partire dal lockdown del 2020 ha avuto sicuramente molti vantaggi per tantissime categorie di persone, tra cui purtroppo anche per quelli che comunemente definiamo hacker.
I sistemi informatici casalinghi, infatti, per quanto potenti, non possiedono le specifiche tecniche e le capacità di proteggere la rete da attacchi hacker potenti come potrebbero fare le grandi compagnie informatiche.
Infatti sono sempre più frequenti gli attacchi ai router cosiddetti SOHO (Small Office/Home Office), da parte di virus di tipo trojan il più delle volte, che sfruttano l’accesso a questi router SOHO per mantenere una presenza a basso rivelamento sulla rete di destinazione e sfruttare le informazioni sensibili che transitano nella LAN.
ZuoRAT, ecco cosa hanno scoperto gli analisti
Una delle compagnie che si sta recentemente occupando di virus trojan come ZuoRAT, la Black Lotus Labs, il braccio di intelligence delle minacce di Lumen Technologies. Questa compagnia sta attualmente monitorando elementi di quella che sembra essere una sofisticata campagna che sfrutta i router SOHO infetti per colpire principalmente reti di interesse nordamericane ed europee. A
Quello che è stato infatti identificato è un trojan di accesso remoto (RAT) multistadio sviluppato per i dispositivi SOHO che garantisce all’hacker la possibilità di spostarsi nella rete locale e ottenere l’accesso a sistemi aggiuntivi sulla LAN dirottando le comunicazioni di rete per mantenere un punto d’appoggio non rilevato.
Sebbene attualmente non si abbia che una visione ristretta dell’intera portata delle capacità dell’hacker a causa dello stato limitato del monitoraggio dei dispositivi SOHO in generale, utilizzando la telemetria proprietaria dalla dorsale IP globale di Lumen, sono stati trovati alcuni dei comandi e controlli (C2 ) infrastruttura associati a questa attività e individuato alcuni degli obiettivi.
ZuoRAT è un file MIPS compilato per router SOHO in grado di enumerare un host e una LAN interna, acquisire pacchetti trasmessi sul dispositivo infetto ed eseguire attacchi person-in-the-middle (dirottamento DNS e HTTPS in base a regole predefinite). Al momento, non è stato individuato uno schema di attacco ma è ipotizzabile che il modulo hijack fosse il vettore di accesso all’implementazione dei successivi caricatori di shellcode. Utilizzando la telemetria globale Lumen, sono stati individuati i marchi di router infetti che agiscono come nodi proxy C2. Soprattutto per router marchiati ASUS, Cisco e Netgear.
Sebbene compromettere i router SOHO come vettore di accesso per ottenere l’accesso a una LAN adiacente non sia una tecnica nuova, è stato raramente segnalato. Allo stesso modo, le segnalazioni di attacchi di tipo person-in-the-middle, come il dirottamento DNS e HTTP, sono ancora più rari e sono il segno di un’operazione complessa e mirata. L’uso di queste due tecniche ha dimostrato in modo congruente un alto livello di sofisticatezza da parte di un attore di minacce, indicando che questa campagna è stata probabilmente eseguita da un’organizzazione sponsorizzata dallo stato.
