एक नया मैलवेयर अभियान, जिसे "हायटस" के रूप में जाना जाता है, डेटा चोरी करने और पीड़ितों की जासूसी करने के लिए छोटे व्यवसाय राउटरों को लक्षित कर रहा है।
नया "हाइटस" मालवेयर अभियान बिजनेस राउटर्स पर हमला करता है
एक नया मैलवेयर अभियान, जिसे "Hiatus" करार दिया गया है, HiatiusRAT मैलवेयर का उपयोग करके छोटे व्यवसाय राउटर को लक्षित कर रहा है।
6 मार्च, 2023 को शोध फर्म लुमेन ने इस दुर्भावनापूर्ण अभियान पर चर्चा करते हुए एक ब्लॉग पोस्ट प्रकाशित किया। में लुमेन ब्लॉग पोस्ट, यह कहा गया था कि "लुमेन ब्लैक लोटस लैब्स® ने दूसरे, पहले कभी नहीं देखे गए अभियान की पहचान की है जिसमें समझौता किए गए राउटर शामिल हैं।"
HiatusRAT एक प्रकार का मैलवेयर है जिसे a रिमोट एक्सेस ट्रोजन (RAT). रिमोट एक्सेस ट्रोजन का उपयोग साइबर अपराधियों द्वारा लक्षित डिवाइस की रिमोट एक्सेस और नियंत्रण प्राप्त करने के लिए किया जाता है। ऐसा लगता है कि HiatusRAT मालवेयर का नवीनतम संस्करण जुलाई 2022 से उपयोग में है।
लुमेन ब्लॉग पोस्ट में, यह भी कहा गया था कि "HiatusRAT थ्रेट एक्टर को सिस्टम के साथ दूरस्थ रूप से इंटरैक्ट करने की अनुमति देता है, और यह पूर्वनिर्मित कार्यक्षमता का उपयोग करता है - जिनमें से कुछ बेहद असामान्य हैं - समझौता मशीन को गुप्त प्रॉक्सी में परिवर्तित करने के लिए खतरा अभिनेता।"
"Tcpdump" कमांड लाइन उपयोगिता का उपयोग करना, HiatusRAT लक्षित राउटर के ऊपर से गुजरने वाले नेटवर्क ट्रैफ़िक को पकड़ सकता है, जिससे डेटा की चोरी हो सकती है। लुमेन ने यह भी अनुमान लगाया कि इस हमले में शामिल दुर्भावनापूर्ण ऑपरेटरों का उद्देश्य हमले के माध्यम से एक गुप्त प्रॉक्सी नेटवर्क स्थापित करना है।
HiatusRAT विशिष्ट प्रकार के राउटर्स को लक्षित कर रहा है
HiatusRAT मालवेयर का उपयोग एंड-ऑफ-लाइफ DrayTek Vigor VPN रूटर्स पर हमला करने के लिए किया जा रहा है, विशेष रूप से i386 आर्किटेक्चर पर चलने वाले 2690 और 3900 मॉडल। ये उच्च-बैंडविड्थ राउटर हैं जिनका उपयोग व्यवसायों द्वारा दूरस्थ श्रमिकों को वीपीएन समर्थन देने के लिए किया जाता है।
ये राउटर मॉडल आमतौर पर छोटे-से-मध्यम आकार के व्यापार मालिकों द्वारा उपयोग किए जाते हैं, जिन्हें इस अभियान में लक्षित होने का विशेष जोखिम होता है। शोधकर्ताओं को यह नहीं पता है कि लेखन के समय इन DrayTek Vigor राउटर्स में घुसपैठ कैसे हुई।
फरवरी के मध्य में 4,000 से अधिक मशीनों को इस मैलवेयर अभियान के लिए असुरक्षित पाया गया, जिसका अर्थ है कि कई व्यवसायों पर अभी भी हमले का खतरा है।
हमलावर केवल कुछ ड्रायटेक रूटर्स को निशाना बना रहे हैं
आज इंटरनेट से जुड़े सभी DrayTek 2690 और 3900 राउटर में से, Lumen ने केवल 2 प्रतिशत की संक्रमण दर की सूचना दी।
यह इंगित करता है कि दुर्भावनापूर्ण ऑपरेटर जोखिम को सीमित करने और पहचान से बचने के लिए अपने डिजिटल पदचिह्न को न्यूनतम रखने का प्रयास कर रहे हैं। लुमेन ने उपरोक्त ब्लॉग पोस्ट में यह भी सुझाव दिया कि इस रणनीति का उपयोग हमलावरों द्वारा "उपस्थिति के महत्वपूर्ण बिंदुओं को बनाए रखने" के लिए भी किया जा रहा है।
HiatusRAT एक सतत जोखिम बना हुआ है
लेखन के समय, HiatusRAT कई छोटे व्यवसायों के लिए जोखिम पैदा करता है, हजारों राउटर अभी भी इस मैलवेयर के संपर्क में हैं। समय बताएगा कि इस दुर्भावनापूर्ण अभियान में कितने DrayTek राउटरों को सफलतापूर्वक लक्षित किया गया है।