Χάκερ της Κίνας εκμεταλλεύονται δρομολογητές Ruckus για δίκτυα


Η ομάδα UAT-7810, που σχετίζεται με τον κινεζικό τομέα , έχει επεκτείνει τη δραστηριότητά της με στόχο την αξιοποίηση ελαττωμάτων ασφαλείας στους ασύρματους δρομολογητές Ruckus. Αυτή η έχει οδηγήσει στην ανάπτυξη ενός παγκόσμιου δικτύου συσκευών of Things (IoT) που έχουν παραβιαστεί, το οποίο υποστηρίζεται από νέο κακόβουλο λογισμικό.

Αυτή η επιθετική στρατηγική έχει δημιουργήσει το δίκτυο Operational Relay Box (ORB), μια αλυσίδα παραβιασμένων συσκευών που χρησιμοποιούνται για να αποτρέψουν την ανίχνευση της πραγματικής προέλευσης των κυβερνοεπιθέσεων. Οι χάκερ εκμεταλλεύονται συνηθισμένους δρομολογητές, επιτρέποντας στις κακόβουλες δραστηριότητές τους να συγχωνεύονται με την κανονική διαδικτυακή κυκλοφορία.Οι σχετικές λεπτομέρειες μπορείτε να βρείτε εδώ.

Αξιοσημείωτο είναι ότι οι προσπάθειες της UAT-7810 δεν είναι νέες. Οι ερευνητές ασφάλειας είχαν επισημάνει για πρώτη φορά τις δραστηριότητες του δικτύου ORB, γνωστό και ως LapDogs, το 2025, και από τότε η υποδομή τους έχει συνεχώς επεκταθεί.

Η UAT-7810 έχει εξειδικευτεί στην ανάπτυξη και συντήρηση αυτών των δικτύων αναμετάδοσης, επιτρέποντας σε άλλους παράγοντες απειλής να χρησιμοποιούν την υποδομή τους για επιθέσεις σε στρατηγικούς στόχους. Αυτή η καταμερισμένη προσέγγιση καθιστά πιο δύσκολη την ανίχνευση των εισβολών από τους υπερασπιστές.Περισσότερες πληροφορίες μπορείτε να βρείτε εδώ.

Η Cisco Talos έχει παρακολουθήσει τη δραστηριότητα του UAT-7810 και καθορίζει την ομάδα ως μια προηγμένη persistent threat (APT) που είναι υπεύθυνη για τη συντήρηση του δικτύου LapDogs. Υπάρχουν επίσης υποδείξεις ότι η UAT-7810 μοιράζεται εργαλεία με την ομάδα UAT-5918, αν και οι δύο παρακολουθούνται ως ξεχωριστές οντότητες με διαφορετικούς στρατηγικούς στόχους.

Οι επιτιθέμενοι επικεντρώνονται κυρίως σε μη επιδιορθωμένους δρομολογητές Ruckus, αξιοποιώντας γνωστές ευπάθειες αντί να ανακαλύπτουν καινούριες. Αυτή η στρατηγική αποδεικνύει ότι το απαρχαιωμένο υλικολογισμικό παραμένει ένα από τα πιο προνομιακά σημεία πρόσβασης σε οικιακά και επαγγελματικά δίκτυα. Αφού αποκτήσουν πρόσβαση, οι χάκερ αναπτύσσουν μια ευρεία γκάμα προσαρμοσμένων backdoors για τη διατήρηση του ελέγχου στις παραβιασμένες συσκευές.

Οι χάκερ της Κίνας εκμεταλλεύονται τους Ruckus Routers

Κεντρική θέση στη στρατηγική τους κατέχει η κερκόπορτα SHORTLEASH, η οποία σύμφωνα με την Talos πρόκειται να αντικατασταθεί από τη νέα αναβαθμισμένη έκδοση LONGLEASH, προσφέροντας επιπλέον δυνατότητες. Το LONGLEASH είναι ικανό να λειτουργεί ως διακομιστής μεσολάβησης, να φιλοξενεί δικό του διακομιστή ιστού, καθώς και να διαχειρίζεται κρυπτογραφημένες σήραγγες και ενδιάμεσους διακομιστές εντολών που μεταβιβάζουν οδηγίες σε άλλες μολυσμένες συσκευές.

Ο Talos αποκάλυψε επιπλέον δύο αόρατα εργαλεία, το DOGLEASH και το JARLEASH, μαζί με ένα μικρό πρόγραμμα δοκιμής που ονομάζεται LEASHTEST. Το DOGLEASH είναι μια ελαφριά backdoor που «ακούει» σε μολυσμένες συσκευές Linux περιμένοντας συγκεκριμένες εντολές. Το JARLEASH, γραμμένο σε Java, παρέχει στους επιτιθέμενους εργαλεία διαχείρισης αρχείων και μεταφοράς αρχείων, με την σχεδίασή του να περιέχει σχόλια γραμμένα στα Απλοποιημένα Κινεζικά.

Οι δρομολογητές Ruckus παραμένουν το σημείο εισόδου

Η δημοτικότητα των ασύρματων δρομολογητών Ruckus ως στόχων προκύπτει από την εκτεταμένη χρήση τους με παρωχημένο λογισμικό. Οι ερευνητές της Talos έχουν εντοπίσει τρία γνωστά τρωτά σημεία που εκμεταλλεύεται η UAT-7810 για εισβολές από το 2025. Μόλις παραβιαστεί, ένας δρομολογητής μπορεί να ενσωματωθεί σε δίκτυο ORB και να χρησιμοποιηθεί για την αναμετάδοση της κυκλοφορίας για μήνες χωρίς να γίνει αντιληπτός από τον ιδιοκτήτη.

Η ομάδα φαίνεται επίσης να έχει ενδιαφέρον να επεκταθεί και σε άλλες συσκευές. Στις αρχές του έτους, έχουν στόχο συσκευές ASUS AiCloud, γεγονός που υποδηλώνει ότι η UAT-7810 δεν περιορίζεται σε έναν μόνο προμηθευτή ή τύπο συσκευής.

Η άμεση εφαρμογή ενημερώσεων λογισμικού στους δρομολογητές και η αντικατάσταση του υλικού που έχει φτάσει στο τέλος του κύκλου ζωής είναι απλά αλλά αποτελεσματικά βήματα για την κλείδωση αυτών των σημείων καταχώρησης.Δείτε περισσότερα εδώ.

Οι οργανισμοί και οι καθημερινοί χρήστες θα πρέπει να επιβεβαιώσουν ότι οι δρομολογητές τους συνεχίζουν να λαμβάνουν ενημερώσεις ασφαλείας από τους κατασκευαστές τους. Η τμηματοποίηση των δικτύων οικίας και γραφείου, ώστε τα παραβιασμένα δίκτυα να μην μπορούν να επηρεάσουν άλλες συσκευές, προσθέτει ένα επιπλέον επίπεδο προστασίας.

Επίσης, η τακτική παρακολούθηση της διαδικτυακής κυκλοφορίας για ύποπτες συνδέσεις μπορεί να είναι καθοριστική, καθώς οι συγκεκριμένες επιθέσεις εστιάζουν σε μακροπρόθεσμες, αθόρυβες παραβιάσεις.

Δείκτες Συμβιβασμού (IoCs):

Τύπος Δείκτης Περιγραφή
Διεύθυνση IP 194.233.92[.]26 Διακομιστής VPS που χρησιμοποιείται για τη φιλοξενία κακόβουλων ωφέλιμων φορτίων
Διεύθυνση IP 217.15.160[.]247 Διακομιστής VPS που χρησιμοποιείται για τη φιλοξενία κακόβουλων ωφέλιμων φορτίων
Διεύθυνση IP 217.15.164[.]147 Διακομιστής VPS που σχετίζεται επίσης με την εκμετάλλευση δρομολογητή ASUS AiCloud
Διεύθυνση IP 95.182.100[.]231 Διακομιστής με έδρα το Χονγκ Κονγκ που φιλοξενεί κακόβουλα ωφέλιμα φορτία
URL http[:]//217.15.160[.]247:8088/ URL φιλοξενίας ωφέλιμου φορτίου
URL http[:]//217.15.160[.]247:2222/ URL φιλοξενίας ωφέλιμου φορτίου
URL http[:]//217.15.160[.]247:99/ URL φιλοξενίας ωφέλιμου φορτίου
URL http[:]//194.233.92[.]26:8088/ URL φιλοξενίας ωφέλιμου φορτίου
URL http[:]//194.233.92[.]26:2222/ URL φιλοξενίας ωφέλιμου φορτίου
URL http[:]//217.15.164[.]147:99/ URL φιλοξενίας ωφέλιμου φορτίου
URL http[:]//217.15.164[.]147:8088/ URL φιλοξενίας ωφέλιμου φορτίου
URL http[:]//217.15.164[.]147:2222/ URL φιλοξενίας ωφέλιμου φορτίου
URL http[:]//95.182.100[.]231:2222/ URL φιλοξενίας ωφέλιμου φορτίου
Κατακερματισμός αρχείων (SHA256) 1b5649b479fd625de5c8120873644b5eb669cc89cd504582c18e0ae350fd8823 Δείγμα LIGOT
Κατακερματισμός αρχείων (SHA256) 755fcee1337a252203002ecfdf673a08cfadeda8d738bef2d518a08e0626aa4f Δείγμα LONGLEASH
Κατακερματισμός αρχείων (SHA256) e799d72929d7ccc7f6b6109742b8cc482838303207efc989543b6e1ca6d16e9c Σενάριο εκκίνησης JARLEASH
Κατακερματισμός αρχείων (SHA256) 3b89d183eb014e29d9d0d4e45fc2b784a7fcfcf31dd48fd3bde30f8d956383d1 Αρχείο διαμόρφωσης JARLEASH
Κατακερματισμός αρχείων (SHA256) 324d95024fc8da5c92b5a1f4825aed5a2a91c9ca8fb6aa52abb332a4c9cf4257 Δείγμα JARLEASH
Κατακερματισμός αρχείων (SHA256) bafba443170e54ef7fd431ce7f1b5e202719f3fd022e4ef70788904f574d2cdf Δείγμα JARLEASH
Κατακερματισμός αρχείων (SHA256) 604b53f87d6c070bf387e80c70a6df8d272fa3fc143148d41f13e59d52ab1f13 Δείγμα DOGLEASH
Κατακερματισμός αρχείων (SHA256) c92541f273eeb576d39235d0a5c6f18f2574b132a1022598edfa38065783ab98 Δείγμα DOGLEASH
Κατακερματισμός αρχείων (SHA256) 29c7fccc6ef8cbfe4da9a169c7c74bacaea1fb515a1fddef91ab1b1522f76e4c Δείγμα DOGLEASH
Κατακερματισμός αρχείων (SHA256) 425bf771c8c9f740b1ae9803dcb4fd45af4d6a6f171fcc72fc7d511095ca82ce Δείγμα DOGLEASH
Δακτυλικό αποτύπωμα πιστοποιητικού TLS c2ab9adaba93ff094b8f3fc37d906014d870582039d276b7bd03e6fd583d8a15 Πιστοποιητικό διακομιστή TLS στη θύρα 99, με θέμα DN “exploit”

Σημείωση: Οι διευθύνσεις IP και οι τομείς είναι σκόπιμα αλλοιωμένοι (π.χ. [.]) για την αποφυγή τυχαίας επίλυσης ή υπερσύνδεσης. Re-fang μόνο σε ελεγχόμενες πλατφόρμες πληροφοριών απειλών όπως το MISP, το VirusTotal ή το SIEM σας.

NewsRoom
NewsRoomhttps://technoid.gr
Η συντακτική ομάδα του Technoid.gr αποτελείται από έμπειρους δημοσιογράφους και λάτρεις της τεχνολογίας με πολυετή θητεία στον ειδικό τύπο. Με προσήλωση στην εγκυρότητα και την αντικειμενική ανάλυση, το NewsRoom μεταφέρει τον παλμό των παγκόσμιων εξελίξεων, από τα τελευταία gadgets μέχρι τις επαναστατικές καινοτομίες που αλλάζουν τον κόσμο μας.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ