Een professionele misdaadgroep infecteerde in de afgelopen twee jaar meer dan 80 routers in Noord-Amerika en Europa. De groep werkt met ZuoRAT, een unieke malwarevorm die Windows-, macOS- en Linux-apparaten via een router overneemt.

De misdaadgroep wordt gevolgd door Black Lotus Labs, een divisie van Lumen Technologies. Volgens de onderzoekers infecteerde de malware minstens 80 routers, waaronder producten van Cisco, Netgear, Asus en DayTek. De modellen werden niet vermeld.

ZuoRAT is een trojan. Het programma werd geschreven voor routers met een MIPS-processor, veelgebruikt door consumenten en kleine kantoren. De malware is robuust. ZuoRAT weet het netwerkverkeer van aangesloten apparaten te verzamelen zonder zichzelf te onthullen.

De aanvallers verspreiden de trojan door oude kwetsbaarheden in routers te misbruiken. De malware maakt deel uit van een bredere campagne. In totaal werken de aanvallers met vier malwarevormen, waaronder een tool voor botnets en DDoS. De campagne begon zo vroeg als Q4 2020. Sindsdien neemt de activiteit toe.

Onderzoekers vermoeden staatssteun

“Het hacken van routers om toegang te krijgen tot een lokaal netwerk is geen nieuwe techniek is, maar wordt zelden in de praktijk ontdekt”, schreven de onderzoekers van Black Lotus Labs. “Ook meldingen van person-in-the-middle attacks zijn schaars, waaronder DNS en HTTP hijacking. ZuoRAT gebruikt beide technieken. De aanvallers werken op een hoog niveau, wat aangeeft dat de campagne mogelijk is uitgevoerd door state-sponsored actors.”

Lumen Technologies verwerkte de methode van ZuoRAT in zijn securityplatform. Daarmee zijn klanten beveiligd. Ben je geen klant, dan adviseert Lumen Technologies om clients regelmatig op ZuoRAT te scannen. De technische details van het programma worden in het onderzoek vermeld. Voor eindgebruikers van MIPS-routers is het raadzaam om zo vaak mogelijk te patchen, aangezien ZuoRAT meestal via oude kwetsbaarheden binnenkomt.