Routery Asus, Netgear a Cisco cílem velké malwarové kampaně
30.6.2022, Jan Vítek, aktualita
Majitelé routerů značek Asus, Netgear a Cisco by se v Evropě a Severní Americe měli mít na pozoru, neboť dle Black Lotus Labs aktuálně řádí trojan ZuoRAT. Zaměřuje se i na běžné domácí routery.
Zvláště to tak platí pro routery značek Asus, Netgear a Cisco provozované ve Spojených státech, které jsou dle mapy poskytnuté společností Black Lotus Labs častým cílem trojanu ZuoRAT. Jmenována byla i značka DrayTek, jejíž produkty se u nás také prodávají, ale nejsou tak známé.
Jde tu přitom o věc, která začala nejpozději už v prosinci roku 2020, přičemž samotný ZuoRAT je dle Black Lotus Labs jen malou součástí široké malwarové kampaně, která se snažila využít i to, že se během pandemie mnozí pracovníci odebrali do svých domovů a komunikovali s firmou či zákazníky přes svůj domácí router.
ZuoRAT je zřejmě na míru psaný trojan pro zařízení založená na procesorech architektury MIPS a používá zprvu HTTP a DNS hijacking, prostřednictvím čehož může do systému dostat další malware, a sice konkrétně CBeacon, GoBeacon a hackovací nástroj Cobalt Strike.
Útočníci se navíc dle bezpečnostních výzkumníků snaží zakrýt svou aktivitu, a tak nyní existuje pouze podezření, že může jít o jistou skupinu operující z čínského Sečuánu a využívající datacentrovou infrastrukuru firmy Tencent a nástroj Alibaba Yuque.
Nicméně malwaru ZuoRAT je velice snadné se zbavit, neboť v routerech zůstává jen ve složce pro dočasné soubory, takže by měl stačit pouhý reboot zařízení, i když jistější bude pochopitelně provést reset do továrního nastavení. Jenomže vzhledem k tomu, že ZuoRAT slouží v podstatě jen jako brána pro instalaci dalšího malwaru nemůžeme si být jisti tím, co dalšího si do našeho routeru natahal a zda tu reset pomůže. Běžným uživatelům tak mohou lidé z Black Lotus Labs doporučit jen obvyklá opatření, čili krom pravidelných rebootů routeru také jejich aktualizace a samozřejmě pokud možno i vhodné nastavení ve stylu: co nepotřebujete, vypněte.