奇虎360前日表示,至少自2019年12月初以来,一个神秘的黑客组织一直在接管DrayTek企业路由器,以窃听公司网络内部的FTP和电子邮件流量。
奇虎在其网络安全部门Netlab的博客上发表的一份报告中说,研究人员发现了两个不同的威胁参与者,每个都利用了DrayTek Vigor中一个不同的零日漏洞-负载均衡路由器和VPN网关,它们通常部署在企业网络上。
攻击组A-窃取FTP和电子邮件流量
在这两个黑客组织中,第一个(仅被标识为“攻击组A”)到目前为止似乎是这两个组织中比较复杂的。
根据奇虎公司的说法,该组织于去年12月4日发现了对DrayTek设备的相当复杂的攻击后突然出现。
Qihoo表示,攻击集团A滥用了DrayTek设备的RSA加密登录机制中的漏洞,将恶意代码隐藏在路由器的用户名登录字段中。
当DrayTek路由器收到并解密由boobytrapped RSA加密的登录数据后,便运行恶意代码并授予黑客对该路由器的控制权。
黑客没有滥用设备发起DDoS攻击或将流量作为代理网络的一部分进行重新路由,而是变成了间谍箱。研究人员说,黑客部署了一个脚本,该脚本记录了通过端口21(FTP-文件传输),端口25(SMTP-电子邮件),端口110(POP3-电子邮件)和端口143(IMAP-电子邮件)的流量。
然后,在每个星期一,星期三和星期五的00:00,脚本会将所有记录的流量上载到远程服务器。
奇虎公司的研究人员没有推测为什么黑客会收集FTP和电子邮件流量。但是安全研究员通过电话与ZDNet交谈时指出,这看起来像是一次经典的侦察行动。
研究人员告诉ZDNet:“这四个协议都是明文。很明显,它们正在记录流量以收集FTP和电子邮件帐户的登录凭据。” “那些信誉未经加密就在网络上飞行。它们很容易被人选择。”
***研究人员不希望他的名字出现在这篇文章中,因为未经雇主公关部门的批准,他无权与新闻界交流。
此外,ZDNet还从另一个行业消息来源获悉,该组织的黑客活动并未引起人们的注意,并一直受到其他网络安全公司的监视。但是,攻击组A不与任何其他已知的黑客组共享任何服务器基础结构或恶意软件样本-因此,目前看来,这是一个新组。
攻击组B-创建后门帐户
但是DrayTek设备也被第二小组滥用,奇虎的代号为“攻击小组B”。
该小组使用了不同的零时差,但是黑客自己却没有发现它。取而代之的是,零日漏洞最初是在1月26日发布在Skull Army博客上的,然后黑客在两天后开始利用它。
根据Qihoo的说法,黑客利用了第二个零日漏洞,通过利用“ rtick”过程中的错误在被攻击的路由器上创建后门帐户,从而在易受攻击的DrayTek设备上执行代码。他们对这些帐户的处理方式仍然未知。
2月发布的补丁
奇虎公司表示,其研究人员在发现攻击后将两个零日通知DrayTek。但是,他们的第一个警报是通过不正确的渠道发送的,DrayTek的工作人员从未看到过。
该供应商最终确实在1月份B组遭受攻击后得知了两个零日,并于2月10 日发布了固件补丁。DrayTek甚至竭尽全力为现已停产的路由器模型发布固件补丁。
据奇虎,袭击已观察到对居易活力2960,3900,和300B。
奇虎表示,使用BinaryEdge搜索引擎,ZDNet能够在互联网上找到超过978,000个DrayTek Vigor设备,其中只有大约100,000个运行的固件版本容易受到攻击。
*编译:Domino
*来自:ZDNET