Κακόβουλο λογισμικό σουπιών

Ένα νέο κακόβουλο λογισμικό γνωστό ως Cuttlefish εστιάζει σε δρομολογητές μικρών γραφείων και οικιακών γραφείων (SOHO), με στόχο να παρακολουθεί διακριτικά όλη την κίνηση που διέρχεται από αυτές τις συσκευές και να συλλέγει δεδομένα ελέγχου ταυτότητας από αιτήματα HTTP GET και POST.

Το συγκεκριμένο κακόβουλο λογισμικό έχει κατασκευαστεί με αρθρωτό τρόπο, στοχεύοντας κυρίως στην κλοπή πληροφοριών ελέγχου ταυτότητας από αιτήματα Ιστού που περνούν μέσω του δρομολογητή στο Τοπικό Δίκτυο (LAN). Επιπλέον, διαθέτει τη δυνατότητα να εκτελεί πειρατεία DNS και HTTP για συνδέσεις εντός ιδιωτικού χώρου IP, που συνήθως σχετίζεται με επικοινωνίες εσωτερικού δικτύου.

Υπάρχουν ενδείξεις από τον πηγαίο κώδικα που υποδηλώνουν ομοιότητες με ένα σύμπλεγμα δραστηριοτήτων που είχε αναγνωριστεί προηγουμένως γνωστό ως HiatusRAT , αν και δεν έχουν παρατηρηθεί μέχρι στιγμής περιπτώσεις κοινής θυματολογίας. Φαίνεται ότι αυτές οι δύο λειτουργίες είναι ταυτόχρονα ενεργές.

Φορέας μόλυνσης για συμβιβαστικές συσκευές με το κακόβουλο λογισμικό σουπιών

Η Cuttlefish ήταν ενεργή τουλάχιστον από τις 27 Ιουλίου 2023, με την τελευταία της καμπάνια να εκτείνεται από τον Οκτώβριο του 2023 έως τον Απρίλιο του 2024. Κατά τη διάρκεια αυτής της περιόδου, στόχευσε κυρίως 600 μοναδικές διευθύνσεις IP που συνδέονται με δύο Τούρκους παρόχους τηλεπικοινωνιών.

Η συγκεκριμένη μέθοδος που χρησιμοποιείται για την αρχική πρόσβαση σε παραβιαστικό εξοπλισμό δικτύωσης παραμένει ασαφής. Ωστόσο, μόλις δημιουργηθεί μια βάση, αναπτύσσεται ένα σενάριο bash για τη συλλογή δεδομένων κεντρικού υπολογιστή, συμπεριλαμβανομένων/κ.λπ., περιεχομένων, εκτελούμενων διεργασιών, ενεργών συνδέσεων και προσαρτήσεων. Στη συνέχεια, αυτές οι πληροφορίες αποστέλλονται σε έναν τομέα που ελέγχεται από τον παράγοντα απειλής ('kkthreas.com/upload'). Στη συνέχεια κατεβάζει και εκτελεί το ωφέλιμο φορτίο Cuttlefish από έναν αποκλειστικό διακομιστή με βάση τη συγκεκριμένη αρχιτεκτονική του δρομολογητή (π.χ. Arm, mips32 και mips64, i386, i386_i686, i386_x64, κ.λπ.).

Το κακόβουλο λογισμικό σουπιών μπορεί να θέσει σε κίνδυνο τα διαπιστευτήρια των κρίσιμων θυμάτων

Ένα ξεχωριστό χαρακτηριστικό αυτού του κακόβουλου λογισμικού είναι η δυνατότητα παθητικής ανίχνευσης που έχει σχεδιαστεί ειδικά για να στοχεύει δεδομένα ελέγχου ταυτότητας από δημόσιες υπηρεσίες cloud όπως Alicloud, Amazon Web Services (AWS), Digital Ocean, CloudFlare και BitBucket, που επιτυγχάνεται μέσω ενός εκτεταμένου φίλτρου πακέτων Berkeley (eBPF ).

Το κακόβουλο λογισμικό λειτουργεί με βάση ένα σύνολο κανόνων που το κατευθύνει είτε να παραβιάσει την κυκλοφορία που δεσμεύεται για μια ιδιωτική διεύθυνση IP είτε να ενεργοποιήσει μια λειτουργία sniffer για την κυκλοφορία που κατευθύνεται σε μια δημόσια IP, επιτρέποντας την κλοπή διαπιστευτηρίων υπό συγκεκριμένες συνθήκες. Οι κανόνες πειρατείας ανακτώνται και ενημερώνονται από έναν διακομιστή Command-and-Control (C2) που έχει δημιουργηθεί για αυτόν τον σκοπό, με ασφαλή σύνδεση χρησιμοποιώντας ένα ενσωματωμένο πιστοποιητικό RSA.

Επιπλέον, το κακόβουλο λογισμικό μπορεί να λειτουργήσει ως διακομιστής μεσολάβησης ή VPN, επιτρέποντας τη μετάδοση δεδομένων που έχουν συλληφθεί μέσω του παραβιασμένου δρομολογητή και διευκολύνοντας τους παράγοντες απειλής να χρησιμοποιούν συλλεγμένα διαπιστευτήρια για πρόσβαση σε στοχευμένους πόρους.

Οι ερευνητές περιγράφουν το Cuttlefish ως μια προηγμένη μορφή παθητικού κακόβουλου λογισμικού υποκλοπής για εξοπλισμό δικτύωσης αιχμής, που συνδυάζει διάφορες δυνατότητες όπως χειραγώγηση διαδρομής, πειρατεία σύνδεσης και παθητικό sniffing. Με το καταχρηστικό υλικό ελέγχου ταυτότητας, οι φορείς απειλής όχι μόνο αποκτούν πρόσβαση σε πόρους cloud που σχετίζονται με τον στόχο, αλλά και δημιουργούν μια βάση σε αυτό το οικοσύστημα νέφους.