Oh toll, neue Malware lässt Hacker Ihren WLAN-Router kapern
Als ob Sie nicht schon genug Sorgen hätten, stellt ein neuer Bericht fest, dass Hacker auf Heim-Wi-Fi-Router abzielen, um Zugriff auf alle Ihre verbundenen Geräte zu erhalten.
Der Bericht stammt von Black Lotus Lab, einer Sicherheitsabteilung von Lumen Technologies. Der Bericht beschreibt mehrere reale Angriffe auf Small Home/Home Office (SOHO) -Router seit 2020, als Millionen von Menschen zu Beginn der COVID-19-Pandemie begannen, von zu Hause aus zu arbeiten.
Laut Black Lotus Lab verwenden die Angreifer Remote Access Trojans (RATs), um den Router eines Heims zu kapern. Die Trojaner verwenden einen neuen Malware-Stamm namens zuoRAT, um Zugriff zu erhalten, und setzen ihn dann im Router ein. Nach der Bereitstellung ermöglichen die RATs Angreifern, Dateien auf alle angeschlossenen Geräte im Heim- oder Büronetzwerk hoch- und herunterzuladen.
„Die rasche Umstellung auf Remote-Arbeit im Frühjahr 2020 bot Bedrohungsakteuren eine neue Gelegenheit, traditionelle Tiefenverteidigungsschutzmaßnahmen zu unterlaufen, indem sie auf die schwächsten Punkte des neuen Netzwerkperimeters abzielen – Small Office/Home Office (SOHO)-Router.“ Lumen Technologies sagte in einem Blogbeitrag . „Akteure können den SOHO-Routerzugriff nutzen, um eine Präsenz mit geringer Erkennung im Zielnetzwerk aufrechtzuerhalten.“
ZuoRAT ist resistent gegen Versuche, es für weitere Studien in eine Sandbox zu stecken. Bei der ersten Bereitstellung versucht es, mehrere öffentliche Server zu kontaktieren. Wenn es keine Antwort erhält, geht es davon aus, dass es in einer Sandbox ausgeführt wurde, und löscht sich selbst.
Die Malware ist unglaublich ausgeklügelt, und Lumen Technologies glaubt, dass sie möglicherweise von einem nationalstaatlichen Akteur und nicht von betrügerischen Hackern stammt. Dies bedeutet, dass eine Regierung mit vielen Ressourcen auf SOHO-Router in Nordamerika und Europa abzielen könnte.
ZuoRAT erhält Fernzugriff auf SOHO-Router. Es durchsucht Netzwerke ständig nach anfälligen Routern und Angriffen, wenn einer gefunden wird.
Sobald die Trojaner drin sind, gibt es keine Grenzen für den Schaden, den sie anrichten können. Bisher haben sie sich damit begnügt, Daten zu stehlen – personenbezogene Daten (PII), Finanzinformationen und normalerweise sichere Geschäfts- oder Unternehmensinformationen. Angreifer haben jedoch die Möglichkeit, andere Malware einzusetzen, sobald sie Zugriff erhalten haben.
Blue Lotus Lab konnte einen der zuoRAT-Viren auf Server in China zurückverfolgen. Abgesehen davon ist wenig über die Ursprünge der Malware bekannt.
Die meisten gängigen Haushaltsrouter scheinen anfällig zu sein, einschließlich Cisco, Netgear und ASUS. Der beste Schutz vor einer zuoRAT-Infektion ist ein regelmäßiger Neustart des heimischen Routers. Der Virus kann einen Neustart nicht überleben, der den Router löscht und auf die Werkseinstellungen zurücksetzt.