Black Lotus Labs, подразделение по исследованию угроз компании Lumen Technologies, обнаружиловозобновление активности вредоносного ПО “HiatusRAT” в июне этого года. Если ранее целями были организации в Латинской Америке и Европе , то теперь активность сфокусирована на тайванских организациях и военных ресурсах США.
По данным отчета Дирекции национальной разведки США (ODNI), активность “HiatusRAT” вяжется с геополитическими интересами Китая, что делает угрозу ещё более значимой в контексте мировой кибербезопасности. Команда Black Lotus Labs заблокировала новые серверы управления и контроля (Command and Control, ” data-html=”true” data-original-title=”C2″ >C2) и интегрировала индикаторы компрометации в свои системы быстрого обнаружения и реагирования на угрозы.
Первоначально утверждалось, что вредоносная кампания направлена в первую очередь на модели маршрутизаторов DrayTek Vigor с истекшим сроком поддержки (End of Life, EoL) 2960 и 3900. По состоянию на середину февраля 2023 года было скомпрометировано около 100 устройств, подключенных к Интернету. Некоторые из затронутых отраслевых вертикалей включают фармацевтику, IT-услуги, муниципальные органы власти и т.п.
HiatusRAT обладает широкими возможностями и может собирать информацию о маршрутизаторе, запущенных процессах, а также связываться с удаленным C2-сервером для получения файлов или выполнения произвольных команд.
Lumen Technologies уже приняла ряд мер для нейтрализации угрозы, в том числе применение комплексных решений на базе Secure Access Service Edge (SSL и TLS, для обеспечения безопасности данных при передаче по сети.
Для пользователей с собственными маршрутизаторами крайне важно регулярно обновлять программное обеспечение и следить за состоянием своих устройств. Недопустимо использование устройств с прекращённой поддержкой производителей – это открывает дополнительные векторы для атак хакеров.