Takmer dva roky zostalo IT expertom utajené závažné bezpečnostné riziko. A to malware, ktorý útočníkom umožní ovládnuť lokálnu sieť a získať prístup do zapojených systémov, ako sú počítače a ďalšie zariadenia. Útok prebieha prostredníctvom doteraz nevídaného trojského koňa a zameriava sa na „domáce“ routre v Európe a severnej Amerike. Následne sprístupní ovládanie pripojených zariadení so systémami Windows, Mac OS a Linux.
Novoobjavený trojský kôň ZuoRAT bol od roku 2020 nepozorovane používaný a zacielený na routre nachádzajúce sa v malých a domácich kanceláriách (SOHO – Small Office/Home Office). „Nie je náhoda, že prvé identifikované nasadenie ZuoRAT sa datuje práve ku začiatku pandémie Covid-19. Jej vypuknutie odštartoval živelný prechod na vzdialenú prácu a drastické zvýšenie počtu SOHO routrov, ktoré zamestnanci využívajú k prístupu do firemnej infraštruktúry z domu,“ vysvetľuje Martin Lohnert, špecialista pre oblasť kyberbezpečnosti v technologickej spoločnosti Soitron.
Nebezpečenstvo postihlo množstvo široko používaných routrov, predovšetkým od spoločností Asus, Cisco, DrayTek či Netgear. Smutnou pravdou je, že takmer všetky SOHO routre sú len zriedka monitorované a servisované, čo z nich robí jedno z najslabších miest v perimetri siete. Preto môžu veľmi dobre poslúžiť ku zberu dát alebo kompromitácií zariadení pripojených do siete.
„Bežný užívateľ po zakúpení routra urobí jeho základnú konfiguráciu, alebo mu ju urobí jeho IT technik, a začne ho využívať. Bohužiaľ málokedy sa stane, že by ho potom niekedy skontroloval alebo urobil update jeho firmware. A presne tento prístup predstavuje potenciálne veľké riziko,“ vysvetľuje Martin Lohnert.
Náhly prechod k práci na diaľku umožnil sofistikovaným útočníkom využiť túto príležitosť a prekonať tradičnú IT obranu množstva dobre zabehaných organizácií. Po infikovaní routra (väčšinou bez nastavenia ochrany proti známym bezpečnostným chybám) pomocou skriptu dôjde k ľahkému nasadeniu malwaru ZuoRAT. Ten potom môže kompromitovať v sieti pripojené zariadenia a nainštalovať ďalší škodlivý softvér, a to ako do Windows, tak do Mac Os a Linuxu.
Útok prostredníctvom ZuoRAT je vedený ako zistenie, či sa v routri stále nachádzajú známe a doteraz neopravené chyby. Po úspešnom infikovaní routra nasleduje aktivácia a zistenie toho, aké zariadenia sú pripojené ku smerovaču. Útočník potom môže pomocou únosu DNS a HTTP komunikácie prinútiť pripojené zariadenia k inštalácii ďalšieho malwaru. Zahrnutá je tiež funkcia pre zber dát prostredníctvom TCP protokolu cez porty 21 a 8443, ktoré sa používajú k FTP pripojeniu a prechádzaniu webu, čo protivníkovi potenciálne umožňuje sledovať internetovú aktivitu užívateľov z napadnutého routra.
Útok je vedený veľmi profesionálne. „Bolo vynaložené veľké úsilie, aby ZuoRAT zostal neodhalený. Útočná infraštruktúra bola vysoko sofistikovaná. Napriek tomu identifikovaných napadnutí ZuoRATom zatiaľ nie je závratné množstvo, no nikto si nemôže byť istý, že sa to netýka aj jeho domáceho routra. Ide doslova o časovanú bezpečnostnú bombu, ktorá môže začať škodiť kedykoľvek,“ vyzdvihuje Martin Lohnert.
Ochrana proti takémuto spôsobu útoku z pohľadu domáceho užívateľa spočíva predovšetkým v pravidelnej aktualizácií ich firmwarov a všímaní si podozrivého chovania domácej siete. Firmy by si naviac mali uvedomiť, že IT prvkom mimo infraštruktúry organizácie nie je možné veriť – mali by počítať s tým, že sú potenciálne nebezpečné. Predsa len ich nemajú vo svojej gescii, a tak by k nim vždy mali pristupovať ako k nedôveryhodným zariadeniam.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.
