Al twee jaar lang infecteert complexe malware routers van populaire fabrikanten. Van daaruit kunnen hackers geconnecteerde pc’s overnemen.
Routers van Asus, Cisco, DrayTek en Netgear worden al sinds de laatste helft van 2020 aangevallen door complexe malware. Dat ontdekte beveiligingsonderzoekers van Black Lotus Labs van Lumen Technologies. De malware in kwestie heet ZuoRAT en is hoogstwaarschijnlijk het werk van hackers geaffilieerd aan een natiestaat.
ZuoRAT valt op omdat de malware geschreven is in de MIPS-architectuur en zich dus specifiek op routers richt. Bovendien hebben de makers het gemunt op thuis- en kmo-routers.
Verdere infecties
Op de router zelf kan ZuoRAT al heel wat schade aanrichten. De malware kijkt en luistert immers mee naar de netwerktrafiek en is in staat man-in-the-middle-aanvallen te initiëren. Daarmee worden nietsvermoedende gebruikers die een website willen bezoeken, op de achtergrond omgeleid. Daar begint de aanval echter pas.
Doordat ZuoRAT trafiek afkomstig van geconnecteerde toestellen kan omleiden, is de malware in staat geconnecteerde pc’s en MacBooks te misleiden zodat die op hun beurt nieuwe malware installeren. Het gaat om twee stukken malware: CBeacon ontwikkeld om Windows-pc’s te infecteren, en GoBeacon dat Linux- en macOS-toestellen treft. ZuoRAT is verder in staat om Cobalt Strike op slachtoffers los te laten.
Complex controlemechanisme
Volgens Black Lotus Labs is de command & control-architectuur achter ZuoRAT intentioneel complex. De malwarecampagne gebruikt twee controlemechanismes: één voor de routermalware zelf, en één voor de nieuwe malware gericht op geconnecteerde pc’s. De infrastructuur zelf is verdeeld over verschillende weblocaties.
De malware-campagne is nog lopende. Black Lotus Labs ontdekte al zeker 80 geïnfecteerde doelwitten. Router-malware zoals ZuoRAT komt gelukkig met een achilleshiel: het virus overleeft een reboot van je router niet. Enkel een reboot houdt de hackers natuurlijk niet tegen om de malware opnieuw te injecteren. Wanneer achterliggende pc’s al geïnfecteerd zijn, is er bovendien meer werk aan de winkel.
Updaten
Routers zijn vaak vergeten toestellen die ondanks hun kritieke functie niet snel geüpdatet worden. Zeker bij kmo’s of thuisgebruikers is dat het geval. Af en toe inloggen om updates te installeren is een goed idee, zoals deze malware aantoont. De occasionele reboot verhoogt je beveiligingspostuur ook al een beetje.