Переход на дистанционную работу сотрудников многих организаций открыл новые возможности перед злоумышленниками. Специалисты по информационной безопасности предупреждают, что сейчас происходит остававшаяся некоторое время незамеченной изощрённая вредоносная кампания с прицелом на домашние и малые офисные сети в Северной Америке и Европе посредством вредоносного ПО для маршрутизаторов. 

В прошлом году кибератаки на корпоративные сети достигли новых высот по частоте и размеру. Поспособствовала этому уязвимость Log4J, которую многие организации не закрывали несколько месяцев. В этом месяце в системах на Linux нашли новое трудно обнаруживаемое вредоносное ПО. Оно крало учётные данные и давало хакерам удалённый доступ.

Специалисты по безопасности из Lumen Black Lotus Labs открыли новый троян-невидимку для удалённого доступа под названием ZuoRAT. Предположительно, он инфицировал широкий спектр домашних и малых офисных маршрутизаторов в Европе и Северной Америке. Вредоносная программа способна дать контроль над устройствами на Windows, Linux и macOS.

Это длилось по меньшей мере с декабря 2020 года. ZuoRAT может оказаться частью более масштабной кампании вредоносных программ, воспользовавшейся массовым переходом на удалённую работу и учебу. Злоумышленники стали атаковать потребительские маршрутизаторы через уязвимые прошивки, которые в домашних условиях не всегда обновляются.

Исследователи из Black Lotus Labs выявили не менее 80 целей и обнаружили высокую степень сложности ZuoRAT в деле взлома маршрутизаторов от Asus, Netgear, DrayTek и Cisco. Применяется не меньше четырёх фрагментов вредоносного кода. ZuoRAT похож на другие специально созданные вредоносные программы под архитектуру MIPS, вроде лежащей в основе ботнета Mirai.

Когда ZuoRAT попадает в маршрутизатор, злоумышленники могут применять перехват DNS и HTTP для установки дополнительных программ под названиями Beacon и GoBeacon, плюс популярного у хакеров инструмента Cobalt Strike.

Кампания направлена на несколько американских и западноевропейских организаций. Злоумышленники очень постарались скрыть свою деятельность с помощью запутанной многоступенчатой инфраструктуры. Под подозрение попала китайская провинция Сяньчэн, использование инфраструктуры центра обработки данных от Tencent и инструмента совместной работы Yuque от Alibaba.

К счастью, вредоносные программы для маршрутизаторов вроде ZuoRAT можно удалить простой перезагрузкой устройства. Перезагрузка удаляет находящиеся во временной папке файлы программы. Естественно, помогает и сброс настроек маршрутизатора до заводских, пишет Techspot.