Nowy atak na routery wykorzystujący zero-day! Analiza podobnych ataków

Zgodnie z ostrzeżeniem najpoważniejsza wada otwiera dostęp zdalnemu atakującemu, pozwala wyłączyć zaporę routera, wykonać polecenia lub zmienić konfigurację.

Oddzielny biuletyn IO-Data dokumentuje trzy inne wady – CVE-2024-45841, CVE-2024-47133 oraz CVE-2024-52564 – i ostrzega przed dodatkowym ryzykiem: ujawnienia informacji, a także wykonania poleceń.

Z komunikatu IO-Data (za SecurityWeek):

CVE-2024-45841 – Jeśli osoba trzecia zna konto gościa urządzenia i uzyska dostęp do określonego pliku, informacje uwierzytelniające mogą zostać skradzione. Waga CVSS: 6.5.

CVE-2024-47133 – Dowolne polecenia systemu operacyjnego mogą zostać wykonane przez osobę trzecią, która może zalogować się jako administrator. Waga CVSS: 7.2.

CVE-2024-52564 (Nieudokumentowane uwzględnienie funkcji) – Zdalna osoba trzecia jest w stanie wyłączyć zaporę urządzenia docelowego, wykonać dowolne polecenia systemu operacyjnego na urządzeniu docelowym lub zmienić ustawienia urządzenia. Waga CVSS: 7.5.

Firma IO-Data, znana z urządzeń peryferyjnych PC i urządzeń IoT, dostarczyła aktualizację oprogramowania układowego (wersja 2.1.9), aby naprawić jeden z błędów, ale ostrzegła, że poprawki dla CVE-2024-45841 i CVE-2024-47133 nie będą dostępne co najmniej do 18 grudnia 2024 r. Nie ma publicznie dostępnych szczegółów na temat exploitów typu zero-day, wiemy tylko, że zostały zgłoszone przez badaczy z Narodowego Instytutu Technologii Informacyjnych i Komunikacyjnych, a ostrzeżenie było koordynowane przez Japońskie Partnerstwo Wczesnego Ostrzegania w zakresie Bezpieczeństwa Informacji.

Na naszym portalu opisywaliśmy niedawno włamanie do Wi-Fi wykonane „przez ulicę” i konsekwentnie będziemy zwracać uwagę na mało zabezpieczone punkty wejścia. Dlatego w ramach ostrzeżenia przypomnimy atak przeanalizowany w 2018 roku.

Wtedy to na szczycie analityków bezpieczeństwa w Cancun badacze Kaspersky Lab opisali działanie grupy włamującej się do routerów.

Główny element złośliwego oprogramowania, nazwany na podstawie wewnętrznych ciągów znaków znalezionych przez badaczy „Slingshot”, jest interesujący, ponieważ infekuje komputery za pośrednictwem skompromitowanych routerów, w szczególności tych wyprodukowanych przez łotewską firmę Mikrotik.

Nie jest jasne, w jaki sposób docelowe routery zostają zainfekowane, ale Kaspersky wskazał, że pliki WikiLeaks Vault7, które uważa się za narzędzia opracowane i używane przez CIA, zawierają exploit Mikrotik. Dostawca twierdzi, że załatał lukę w zabezpieczeniach wykorzystywaną przez exploit Vault7 i nie wiadomo, czy był to pierwotny wektor używany przez atakujących.

Po uzyskaniu dostępu do routera hakerzy mogą wykorzystać legalne oprogramowanie o nazwie WinBox, narzędzie do zarządzania udostępnione przez Mikrotik, które pobiera pliki DLL z routera i ładuje je bezpośrednio do pamięci komputera.

Używając tej funkcjonalności, hakerzy Slingshot mogą dostarczyć złośliwe oprogramowanie administratorowi docelowego routera.

Malware to zasadniczo program ładujący pierwszego etapu, który zastępuje legalne pliki DLL w systemie Windows złośliwymi wersjami o dokładnie takim samym rozmiarze. Złośliwe pliki DLL są ładowane przez proces services.exe, mający uprawnienia systemowe.

Główne moduły pobierane przez Slingshot to Cahnadr i GollumApp. Cahnadr, znany również jako Ndriver, to ładunek w trybie jądra, który zapewnia wszystkie możliwości wymagane przez moduły w trybie użytkownika, w tym ochronę przed debugowaniem, funkcjonalność rootkita, wstrzykiwanie modułów do procesu services.exe, komunikację sieciową i możliwości wykrywania różnych protokołów.

GollumApp to główny moduł działający w trybie użytkownika, zaprojektowany do zarządzania innymi modułami, a jednocześnie stale wchodzący w interakcję z Cahnadr. Obejmuje szeroki zakres funkcji ukierunkowanych na szpiegowanie, umożliwiających atakującym przechwytywanie zrzutów ekranu, rejestrowanie naciśnięć klawiszy, zbieranie danych systemowych i sieciowych oraz haseł, manipulowanie danymi schowka, uruchamianie nowych procesów z uprawnieniami SYSTEM i wstrzykiwanie innych złośliwych modułów do określonego procesu.

Ponieważ może działać w trybie jądra, co jest cechą typową dla zaawansowanych zagrożeń, złośliwe oprogramowanie pozwala atakującym przejąć pełną kontrolę nad zainfekowaną maszyną.

Slingshot próbuje uniknąć wykrycia, stosując różne metody, w tym bezpośrednie wywoływanie usług systemowych w celu ominięcia haków produktów zabezpieczających, szyfrowanie ciągów w swoich modułach i selektywne wstrzykiwanie procesów w zależności od tego, jaki produkt zabezpieczający jest obecny.

Slingshot stosuje również pewne sprytne techniki w zakresie komunikacji poleceń i kontroli (C&C) – złośliwe oprogramowanie ukrywa swój ruch w legalnych protokołach komunikacyjnych, zwracając uwagę na pakiety zawierające specjalny znak.

Nie jest pewne, kto stał za opisywaną kampanią, niemniej badacze stwierdzili, że większość komunikatów debugowania została napisana doskonałą angielszczyzną, a kilka ciągów w kodzie odnosi się do postaci z Władcy Pierścieni.