Un gruppo di hacker tecnicamente avanzato ha trascorso quasi due anni a infettare un’ampia gamma di router in Nord America e in Europa con un malware che prende il pieno controllo dei dispositivi connessi con Windows, macOS e Linux.

Finora, i ricercatori dei Black Lotus Labs di Lumen Technologies hanno identificato almeno 80 obiettivi infettati dal malware furtivo, che ha infettato router di Cisco, Netgear, Asus e DayTek. Denominato ZuoRAT, il trojan per l’accesso remoto fa parte di una campagna di hacking più ampia che esiste almeno dal quarto trimestre del 2020 e continua a funzionare.

Un alto livello di sofisticazione

La scoperta di un malware personalizzato scritto per l’architettura MIPS e compilato per i router dei piccoli uffici e degli uffici domestici è significativa, soprattutto in considerazione della sua gamma di capacità. La sua capacità di enumerare tutti i dispositivi connessi a un router infetto e di raccogliere le ricerche DNS e il traffico di rete che inviano e ricevono, senza essere individuato, è il segno distintivo di un attore altamente sofisticato.

“Sebbene la compromissione dei router SOHO come vettore di accesso per accedere a una LAN adiacente non sia una tecnica nuova, è stata segnalata raramente“, scrivono i ricercatori di Black Lotus Labs. “Allo stesso modo, le segnalazioni di attacchi di tipo person-in-the-middle, come l’hijacking DNS e HTTP, sono ancora più rare e sono il segno di un’operazione complessa e mirata. L’uso di queste due tecniche ha dimostrato un alto livello di sofisticazione da parte di un attore della minaccia, indicando che questa campagna è stata probabilmente eseguita da un’organizzazione sponsorizzata dallo Stato“.

La campagna comprende almeno quattro pezzi di malware, tre dei quali scritti da zero dall’attore della minaccia. Il primo pezzo è ZuoRAT, basato su MIPS, che assomiglia molto al malware Mirai Internet of Things che ha realizzato attacchi distributed denial-of-service da record che hanno paralizzato alcuni servizi Internet per giorni. ZuoRAT viene spesso installato sfruttando vulnerabilità non patchate nei dispositivi SOHO.

Una volta installato, ZuoRAT enumera i dispositivi connessi al router infetto. L’attore della minaccia può quindi utilizzare il DNS hijacking e l’HTTP hijacking per far sì che i dispositivi connessi installino altro malware. Due di questi malware, denominati CBeacon e GoBeacon, sono personalizzati: il primo è stato scritto per Windows in C++, mentre il secondo è stato scritto in Go per la compilazione incrociata su dispositivi Linux e macOS. Per flessibilità, ZuoRAT può anche infettare i dispositivi connessi con lo strumento di hacking Cobalt Strike, ampiamente utilizzato.

ZuoRAT può indirizzare le infezioni verso i dispositivi connessi utilizzando uno dei due metodi seguenti:

• DNS hijacking, che sostituisce gli indirizzi IP validi corrispondenti a un dominio come Google o Facebook con uno dannoso gestito dall’aggressore.
• HTTP hijacking, in cui il malware si inserisce nella connessione per generare un errore 302 che reindirizza l’utente a un indirizzo IP diverso.

Intenzionalmente complesso

Black Lotus Labs ha dichiarato che l’infrastruttura di comando e controllo utilizzata nella campagna è intenzionalmente complessa nel tentativo di nascondere ciò che sta accadendo. Una serie di infrastrutture viene utilizzata per controllare i router infetti, mentre un’altra è riservata ai dispositivi collegati se vengono successivamente infettati.

I ricercatori hanno osservato i router di 23 indirizzi IP con una connessione persistente a un server di controllo che, a loro avviso, stava eseguendo un’indagine iniziale per determinare se gli obiettivi fossero di interesse. Un sottoinsieme di questi 23 router ha poi interagito con un server proxy con sede a Taiwan per tre mesi. Un ulteriore sottoinsieme di router ha ruotato verso un server proxy con sede in Canada per offuscare l’infrastruttura dell’attaccante.

La visibilità dei Black Lotus Labs indica che ZuoRAT e l’attività correlata rappresentano una campagna altamente mirata contro le organizzazioni degli Stati Uniti e dell’Europa occidentale che si mescola al traffico Internet tipico attraverso un’infrastruttura C2 offuscata e a più livelli, probabilmente allineata a più fasi dell’infezione da malware. La misura in cui gli attori si sono impegnati a nascondere l’infrastruttura C2 non può essere sopravvalutata. In primo luogo, per evitare sospetti, hanno distribuito l’exploit iniziale da un server privato virtuale (VPS) dedicato, che ospitava contenuti benigni. Successivamente, hanno sfruttato i router come proxy C2 che si sono nascosti in bella vista attraverso la comunicazione da router a router per evitare ulteriormente il rilevamento. Infine, hanno ruotato periodicamente i router proxy per evitare il rilevamento.

La scoperta di questa campagna in corso è la più importante che riguarda i router SOHO dopo VPNFilter, il malware per router creato e distribuito dal governo russo, scoperto nel 2018. I router sono spesso trascurati, soprattutto nell’era del lavoro da casa. Mentre le organizzazioni hanno spesso requisiti rigorosi per quanto riguarda i dispositivi a cui è consentito connettersi, poche impongono patch o altre protezioni per i router dei dispositivi.

Come la maggior parte dei malware per router, ZuoRAT non può sopravvivere a un riavvio. Il semplice riavvio di un dispositivo infetto rimuove l’exploit iniziale di ZuoRAT, costituito da file memorizzati in una directory temporanea. Per un recupero completo, tuttavia, i dispositivi infetti dovrebbero essere resettati in fabbrica. Purtroppo, nel caso in cui i dispositivi collegati siano stati infettati da un altro malware, non possono essere disinfettati così facilmente.