Cuttlefish: скрият морски шпионин директно във вашия рутер
Никоя ключова дума не убягва на комплицираната цифрова каракуда.
Нов вид злотворен програмен продукт, наименуван Cuttlefish, е открит в рутерите в огромни предприятия и дребни офиси. Той следи цялата информация, преминаваща през инфектираните устройства, и краде данните за достъп.
Black Lotus Labs оповестява, че Cuttlefish основава прокси или VPN тунел непосредствено в рутера, с цел да трансферира скрито данни. При това заобикаля системите за разкриване, които улавят подозрителните логвания.
Зловредният програмен продукт прихваща DNS и HTTP поръчките в границите на частните мрежи, като нарушава вътрешните връзки и изтегля спомагателни зловредни модули.
Въпреки сходството на част от кода на Cuttlefish с HiatusRat, който е употребен в акции, свързани с китайски ползи, не е открита директна връзка сред двете стратегии.
Cuttlefish работи от юли 2023 година и е най-активна в Турция, само че визира прилежащите страни, както и сателитните услуги и центровете за данни в някои други райони.
Методът на в началото заразяване на маршрутизаторите към момента не е открит, само че евентуално се употребяват известни уязвимости или асортимент на данните за логването. След като се получи достъп до маршрутизатора, се започва bash скрипт, който стартира да събира данни от хоста. Включително и лист с директории, дейни процеси и връзки.
Изтегленият скрипт извършва главния потребен товар на Cuttlefish. Той се зарежда в паметта, с цел да се избегне откриването му, а файлът неотложно се изтрива от файловата система.
Според Black Lotus Labs съществуват разнообразни версии на Cuttlefish. Както за ARM, i386 и други архитектури. Като цяло тази вариация обгръща доста типове маршрутизатори.
Зловредният програмен продукт употребява филтри за мрежовите пакети, с цел да следи всички връзки. След като открие избрани данни, той прави дейности в сходство с авансово избрани правила, които постоянно се актуализират от сървъра за ръководство.
Cuttlefish интензивно претърсва трафика за удостоверителни знаци като потребителски имена, пароли и токени, изключително такива, свързани с облачните услуги. Уловените данни се съхраняват локално и се изпращат на хакерите, когато доближат избран размер. Засега няма информация към сървърите на кои страни се изпращат тези данни.
За да се предпазят от Cuttlefish, мрежовите админи предлагат да се заобикалят слабите пароли. Да се управляват необикновените логвания. Да се употребяват сигурни TLS/SSL протоколи. Да се ревизират за подозрителни файлове и от време на време да се прави рестартиране на устройствата.
Освен това, изключително при евтините маршрутизатори, не е ненужно постоянно да се ревизира за актуализации на фърмуера. Както и да се блокира отдалеченият достъп до интерфейса за ръководство. Препоръчва се и своевременна замяна на устройствата при приключване на периода на поддръжка.
