Trojský kůň ZuoRAT odhalil časovanou bezpečnostní bombu. SOHO routery tiše sledují provoz v síti

Praha 8. srpna 2022 – Téměř dva roky zůstalo IT expertům skryto závažné bezpečnostní riziko. A to malware, který útočníkům umožní ovládnout lokální síť
a získat přístup do zapojených systémů, jako jsou počítače a další zařízení. Útok probíhá prostřednictvím dosud nevídaného trojského koně a zaměřuje se na „domácí“ routery v Evropě a severní Americe. Následně zpřístupní ovládání připojených zařízení se systémy Windows, Mac OS a Linux.

Nově objevený trojský kůň ZuoRAT byl od roku 2020 nepozorovaně používán
a zacílen na routery nacházející se v malých a domácích kancelářích (SOHO – Small Office/Home Office)). „Není náhodou, že první identifikovaná nasazení ZuoRATu se datují právě do začátku pandemie Covid-19. Její vypuknutí odstartoval živelný přechod na vzdálenou práci a drastické zvýšení počtu SOHO routerů, které zaměstnanci využívají k přístupu do firemní infrastruktury z domova,“ vysvětluje Martin Lohnert, specialista pro oblast kyberbezpečnosti v technologické společnosti Soitron.

Máte router? A mohu ho vidět?

Nebezpečí postihlo celou řadu široce používaných routerů, především od společností Asus, Cisco, DrayTek či Netgear. Smutnou pravdou je, že téměř všechny SOHO routery jsou jen zřídka monitorované a servisované, což z nich dělá jedno z nejslabších míst v perimetru sítě. Proto mohou velmi dobře posloužit ke sběru dat, nebo kompromitaci zařízení připojených do sítě. „Běžný uživatel po zakoupení routeru provede jeho základní konfiguraci, nebo mu ji provede jeho IT technik,
a začne ho využívat. Bohužel málokdy se stane, že by ho potom někdy zkontroloval, nebo provedl update jeho firmware. A přesně tento přístup představuje potenciální velké riziko,“ vysvětluje Martin Lohnert.

Náhlý přechod k práci na dálku umožnil sofistikovaným útočníkům využít této příležitosti a překonat tradiční IT obranu mnoha dobře zavedených organizací. Po infikování routeru (většinou bez nastavení ochrany proti známým bezpečnostním chybám) pomocí skriptu dojde ke snadnému nasazení malwaru ZuoRAT. Ten potom může kompromitovat v síti připojená zařízení a nainstalovat další škodlivý software, a to jak do Windows, tak Mac Os a Linuxu.

Cíl ZuoRAT a jak se chránit

Útok prostřednictvím ZuoRAT je veden prostřednictvím zjištění, zda se v routeru stále nachází známé a dosud neopravené chyby. Po úspěšném infikování routeru následuje aktivace a zjištění, jaká zařízení jsou připojená ke směrovači. Útočník pak může pomocí únosu DNS a HTTP komunikace přimět připojená zařízení k instalaci dalšího malwaru. Zahrnuta je také funkce pro sběr dat prostřednictvím TCP protokolu přes porty 21 a 8443, které se používají k FTP připojení a procházení webu, což protivníkovi potenciálně umožňuje sledovat internetovou aktivitu uživatelů z napadeného routeru.

Útok je veden velmi profesionálně. „Bylo vynaloženo velké úsilí, aby ZuoRAT zůstal neodhalen. Útočná infrastruktura navíc byla zvláště vysoce sofistikovaná. Přestože identifikovaných napadení ZuoRATem prozatím není nijak závratné množství, nikdo si nemůže být jist, že se to netýká i jeho domácího routeru. Jde doslova o časovanou bezpečnostní bombu, která může začít škodit kdykoliv,“ vyzdvihuje Martin Lohnert. 

Ochrana proti takovémuto způsobu z pohledu domácího uživatele spočívá především v pravidelné aktualizaci jejich firmwarů a všímání si podezřelého chovaní domácí sítě. Firmy by si navíc měly uvědomit, že IT prvkům mimo infrastrukturu organizace nelze věřit – měly by počítat s tím, že jsou potenciálně nebezpečné. Přece jen je nemají ve své gesci, a tak by k nim vždy měly přistupovat jako k nedůvěryhodným zařízením.

O společnosti Soitron

Soitron je IT integrátor inovativních řešení a technologií původem ze Slovenska. Dnes zaměstnává přes 800 lidí a jeho týmy pracují kromě Slovenska také v České republice, Rumunsku, Turecku, Bulharsku, Polsku a Velké Británii. Filozofií Soitronu je neustále se zlepšovat. Pomáhá klientům v různých odvětvích řídit jejich byznys efektivněji, rozvíjet ho a chránit před hrozbami online prostředí. Je dlouhodobým lídrem v oblasti IT infrastruktury a sítí, komunikačních řešení, IT služeb a IT outsourcingu. K dlouhodobým kompetencím Soitronu přibyly nové v oblasti internetu věcí (IoT), robotizace a automatizace, robotické procesní automatizace (RPA), umělé inteligence (AI), aplikací, cloudových řešení a vlastního security operations centra (SOC). Všechny tyto kompetence vedly k vytvoření vlastního IT konzultačního týmu, díky kterému dokáže porozumět byznysu a potřebám klientů s ohledem na rychlý vývoj technologií. Do jeho portfolia patří také řešení pro inteligentní policejní auta známá pod značkou Mosy a nová služba v oblasti kybernetické bezpečnosti – známá pod značkou Void.