HACKER nghe lén và theo dõi thông tin doanh nghiệp thông qua router DrayTek Vigor

Một nhóm hacker đã sử dụng lổ hỏng zero-day để nghe lén và theo dõi thông tin doanh nghiệp thông qua router DrayTek Vigor


Trong báo cáo được công bố trên blog của bộ phận an ninh mạng Netlab, Qihoo cho biết các nhà nghiên cứu của họ đã phát hiện ra hai tác nhân đe dọa khác nhau, mỗi người khai thác một lỗ hổng zero-day khác nhau trong DrayTek Vigor - bộ định tuyến cân bằng tải và cổng VPN thường được triển khai trên mạng doanh nghiệp.

Trong đó có 2 nhóm HACKER được xác định, nhóm đầu tiên - chỉ được xác định là "Nhóm tấn công A" cho đến nay, hai nhóm vẫn rất tinh vi.


Theo Qihoo, nhóm đã xuất hiện trên radar của họ vào ngày 4 tháng 12 năm ngoái, khi họ phát hiện một cuộc tấn công khá phức tạp vào các thiết bị DrayTek.
Qihoo nói rằng Nhóm tấn công A đã lạm dụng một lỗ hổng trong cơ chế đăng nhập được mã hóa RSA của các thiết bị DrayTek để ẩn mã độc bên trong trường đăng nhập tên người dùng của bộ định tuyến.
Khi một bộ định tuyến DrayTek nhận được và sau đó giải mã dữ liệu đăng nhập được mã hóa RSA, nó đã chạy mã độc và cấp cho các tin tặc quyền kiểm soát bộ định tuyến.
Nhưng đây là nơi mọi thứ trở nên kỳ lạ. Thay vì lạm dụng thiết bị để khởi chạy các cuộc tấn công DDoS hoặc định tuyến lại lưu lượng như một phần của mạng proxy, tin tặc đã biến thành một hộp gián điệp.

Các nhà nghiên cứu cho biết tin tặc đã triển khai một tập lệnh ghi lại lưu lượng truy cập đến cổng 21 (FTP - truyền tệp), cổng 25 (SMTP - email), cổng 110 (POP3 - email) và cổng 143 (IMAP - email).
Sau đó, vào mỗi Thứ Hai, Thứ Tư và Thứ Sáu lúc 0:00, tập lệnh sẽ tải tất cả lưu lượng đã ghi lên máy chủ từ xa.
Các nhà nghiên cứu của Qihoo đã không suy đoán tại sao tin tặc lại thu thập lưu lượng FTP và email. Nhưng nói chuyện với ZDNet qua điện thoại, một nhà nghiên cứu bảo mật đã chỉ ra rằng đây trông giống như một hoạt động trinh sát cổ điển.
"Tất cả bốn giao thức đều rõ ràng. Rõ ràng họ đang lưu lượng truy cập để thu thập thông tin đăng nhập cho tài khoản FTP và email", nhà nghiên cứu nói với ZDNet. "Những khoản tín dụng đó đang bay không được mã hóa qua mạng. Chúng là những lựa chọn dễ dàng."
*** Nhà nghiên cứu không muốn tên của mình được chia sẻ cho bài viết này vì anh ta không được phép nói chuyện với báo chí mà không có sự chấp thuận của bộ phận PR của chủ nhân.
Hơn nữa, ZDNet cũng hiểu từ một nguồn công nghiệp khác rằng chiến dịch hack của nhóm đã không được chú ý và đã được các công ty an ninh mạng khác theo dõi. Tuy nhiên, Nhóm tấn công A không chia sẻ bất kỳ cơ sở hạ tầng máy chủ hoặc mẫu phần mềm độc hại nào với bất kỳ nhóm hack đã biết nào khác - vì vậy, hiện tại, đây dường như là một nhóm mới.
Trong khi đó ở nhóm HACKER 2 gọi là  "Nhóm tấn công B." Nhóm này đã sử dụng zero-day khác nhau, nhưng tin tặc đã không tự khám phá ra. Thay vào đó, zero-day được mô tả lần đầu tiên trong Blog Zdnet vào ngày 26/1 và các tin tặc bắt đầu khai thác nó hai ngày sau đó.
Theo Qihoo, các tin tặc đã sử dụng số 0 ngày thứ hai này để thực thi mã trên các thiết bị DrayTek dễ bị tổn thương bằng cách khai thác một lỗi trong quy trình "rtick" để tạo tài khoản backlink trên các bộ định tuyến bị hack. Những gì họ đã làm với những tài khoản đó vẫn chưa được biết.

Qihoo cho biết các nhà nghiên cứu của họ đã thông báo cho DrayTek về cả 2 zero-day khi họ phát hiện ra các cuộc tấn công; tuy nhiên, cảnh báo đầu tiên của họ đã được gửi qua một kênh không chính xác và nhân viên của DrayTek không bao giờ nhìn thấy.
Nhà cung cấp cuối cùng đã biết về zero-day các cuộc tấn công của Nhóm B vào tháng 1 và phát hành các bản vá phần sụn vào ngày 10 tháng 2. DrayTek thậm chí đã tìm cách phát hành một bản vá phần sụn cho một mô hình bộ định tuyến đã ngừng sản xuất.
Theo Qihoo, các cuộc tấn công đã được quan sát chống lại DrayTek Vigor 2960 , 3900 và 300B .
Tuy nhiên, sử dụng công cụ tìm kiếm BinaryEdge, ZDNet đã có thể tìm thấy hơn 980.000 thiết bị DrayTek Vigor trên internet, tuy nhiên, Qihoo nói rằng chỉ có khoảng 100.000 trong số này đang chạy phiên bản phần mềm dễ bị tấn công.




Biên dịch từ Zdnet