Tajemná skupina hackerů odposlouchává firemní e-mail a FTP přenos

DrayTek Vigor
Obrázek: DrayTek, ZDNet

Čínská bezpečnostní společnost Qihoo 2019 dnes uvedla, že od začátku prosince 360 přebírá záhadná skupina hackerů podnikové směrovače DrayTek, aby odposlouchávala FTP a e-mailový provoz v podnikových sítích.

Ve zprávě zveřejněné na blogu své divize síťové bezpečnosti Netlab, Qihoo řekl, že její výzkumníci detekovali dva různé subjekty ohrožení, z nichž každý využíval jinou zranitelnost v DrayTek Vigor - směrovače s vyrovnáváním zátěže a brány VPN obvykle rozmístěné v podnikových sítích.

Attack Group A - krádež FTP a e-mailu

Z těchto dvou hackerských skupin se zdá, že první - označená pouze jako „skupina útoků A“ - je zdaleka sofistikovanější.

Podle Qihoo se skupina objevila na radaru 4. prosince minulého roku, když zjistili docela komplexní útok na zařízení DrayTek.

Qihoo říká, že skupina Attack A zneužila zranitelnost v mechanismu šifrování přihlášení šifrovaného RSA u zařízení DrayTek, aby skryla škodlivý kód uvnitř přihlašovacího pole uživatelského jména routeru.

Když router DrayTek přijal a dešifroval přihlašovací údaje šifrované RSA šifrované pomocí boobytrappedu, spustil škodlivý kód a udělil hackerům kontrolu nad routerem.

Ale tady jsou věci divné. Místo zneužití zařízení ke spuštění útoků DDoS nebo přesměrování provozu v rámci sítě proxy se hackeři stali špionážní skříní.

Vědci tvrdí, že hackeři nasadili skript, který zaznamenal přenos přicházející přes port 21 (FTP - přenos souborů), port 25 (SMTP - email), port 110 (POP3 - email) a port 143 (IMAP - email).

Poté každé pondělí, středu a pátek v 0:00 skript nahraje veškerý zaznamenaný provoz na vzdálený server.

Výzkumníci Qihoo nespekulovali, proč hackeři shromažďují FTP a e-mailový provoz. Výzkumník bezpečnosti však hovořil s ZDNet telefonicky a poukázal na to, že to vypadá jako klasický průzkum.

"Všechny čtyři protokoly jsou jasný text." Je zřejmé, že zaznamenávají provoz a shromažďují přihlašovací údaje pro FTP a e-mailové účty, “řekl výzkumník ZDNet. "Tyto kredity létají nešifrované přes síť." Jsou to snadné výběry. “

*** Výzkumník nechtěl, aby jeho jméno bylo sdíleno pro tento článek, protože nebyl oprávněn mluvit do tisku bez souhlasu PR zaměstnavatele.

ZDNet dále z jiného průmyslového zdroje chápe, že hackerská kampaň skupiny nebyla bez povšimnutí a ostatní společnosti v oblasti kybernetického zabezpečení byly pod dohledem. Attack Group A však nesdílí žádnou serverovou infrastrukturu ani vzorky malwaru s žádnou jinou známou hackerskou skupinou - takže se prozatím jeví jako nová skupina.

Attack Group B - vytváření backdoor účtů

Ale zařízení DrayTek byla zneužívána také druhou skupinou, kterou Qihoo označila „Attack Group B.“

Tato skupina používala jiný den nuly, ale hackeři to sami neobjevili. Místo toho byl den nuly poprvé popsán v příspěvku 26. ledna na blogu Skull Army a hackeři jej začali využívat o dva dny později.

Podle Qihoo hackeři použili tento druhý den nuly k provedení kódu na zranitelných zařízeních DrayTek tím, že využili chybu v procesu „rtick“ k vytvoření zadních účtů na hackovaných směrovačích. To, co udělali s těmito účty, zůstává neznámé.

Opravy vydané v únoru

Qihoo řekl, že jeho vědci oznámili DrayTek o obou nulových dnech, jakmile zjistí útoky; jejich první varování však bylo zasláno nesprávným kanálem a DrayTekovi zaměstnanci je nikdy neviděli.

Prodejce se nakonec dozvěděl o dvou nulových dnech po útocích skupiny B v lednu a 10. února vydal záplaty firmwaru. DrayTek dokonce vyšel ze své cesty k vydání záplaty firmwaru pro nyní přerušený model routeru.

Podle Qihoo byly pozorovány útoky proti DrayTek Vigor 2960, 3900 a 300B.

Pomocí vyhledávače BinaryEdge dokázalo ZDNet najít na internetu více než 978,000 100,000 zařízení DrayTek Vigor, i když Qihoo říká, že pouze asi XNUMX XNUMX z nich používá verzi firmwaru, která je citlivá na útoky.

draytek-vigor-be.png

draytek-vigor-be.png


Binární možnosti bitcoinů a etereum


Zprávy o koronaviru v přímém přenosu

Zdroj: https://e-cryptonews.com/a-mysterious-hacker-group-is-eavesdropping-on-corporate-email-and-ftp-traffic/