De routers in onze huizen zijn belangrijke onderdelen voor alle leden van het gezin, want dankzij hen kunnen we verbinding maken en genieten van alles wat internet ons biedt. Deze zijn ontworpen om veilig te zijn, maar het is onvermijdelijk dat deze beveiligingslekken zullen hebben. De fabrikanten patchen ze regelmatig, maar sommige cybercriminelen slagen erin ze aan te vallen. In feite wordt een breed scala aan routers al lang aangevallen door zeer geavanceerde malware. Wij vertellen je meer .
Deze malware zou al geruime tijd in omloop zijn en heeft tijdens dit alles een aanzienlijk aantal routers besmet, zowel in de Verenigde Staten als in Europa (inclusief Spanje). Deze malware is echt gevaarlijk omdat het in staat is om: aangesloten apparaten bedienen met allerlei soorten besturingssystemen als Dakramen en raamkozijnen, Linux of zelfs MacOS.
Een zeer gevaarlijke malware
De malware, genaamd ZuoRAT, is ontworpen om routers voor thuis en kleine kantoren aan te tasten, en is in staat om alle aangesloten apparaten op te sommen en DNS zoekopdrachten en het verkeer dat ze verzenden en ontvangen. Met andere woorden, u kunt op onze computer installeren wat u maar wilt zonder dat wij uw aanwezigheid op enig moment merken.
De werking of manier van handelen omvat ten minste: vier verschillende stukken van malware . De eerste hiervan is ZuoRAT zelf, en zodra het op onze router is geïnstalleerd, zal het DNS en HTTP kapen om de apparaten die op de router zijn aangesloten een van de andere drie malware te laten downloaden, speciaal gemaakt om controle te krijgen over virtueel elke ploeg.
Onderzoekers van Black Lotus Labs geven aan dat hoewel dit type malware op zich niets nieuws is, het is lang geleden dat zo'n geavanceerde malware is gezien aanvallen op thuis- of kleine kantoornetwerken:
Hoewel het compromitteren van thuis- of kleine kantoorrouters als toegangspoort tot een nabijgelegen LAN geen nieuwe techniek is, is het zelden gemeld. Evenzo zijn meldingen van Man-in-the-Middle-aanvallen zoals DNS- en HTTP-kapingen nog zeldzamer en een teken van een complexe en gerichte operatie. Het gebruik van deze twee technieken toonde een hoog niveau van verfijning, wat aangeeft dat deze campagne mogelijk werd uitgevoerd door een door de staat gesponsorde organisatie.
Het is niet voor niets ingewikkeld
Dat de manier van handelen en de structuur van deze nieuwe malware zo complex is, is op een bepaalde manier heel duidelijk: om te verbergen wat er gebeurt . We moeten niet vergeten dat routers over het algemeen over het hoofd worden gezien als het gaat om dit soort malware, omdat we altijd meer geven om de apparatuur die we erop hebben aangesloten als het gaat om beveiliging.
De goede kant van de zaak is dat, zoals alle malware die routers infecteert, is helemaal niet moeilijk te verwijderen. Tot op heden, geen enkele malware kan een herstart overleven . Als we een geïnfecteerd apparaat opnieuw opstarten, zal het de initiële ZuoRAT-exploit verwijderen, aangezien de bestanden worden opgeslagen in een tijdelijke map die bij het opnieuw opstarten zal verdwijnen. Er moet aan worden toegevoegd dat voor een volledig herstel een eenvoudige herstart niet voldoende is, en het zal nodig zijn om het apparaat vanuit de fabriek te herstellen .
