Геополитические игры в киберпространстве: «HiatusRAT» меняет фокус на США и Тайвань

Black Lotus Labs, подразделение по исследованию угроз компании Lumen Technologies, обнаружило возобновление активности вредоносного ПО «HiatusRAT» в июне этого года. Если ранее целями были организации в Латинской Америке и Европе , то теперь активность сфокусирована на тайванских организациях и военных ресурсах США.

По данным отчета Дирекции национальной разведки США (ODNI), активность «HiatusRAT» вяжется с геополитическими интересами Китая, что делает угрозу ещё более значимой в контексте мировой кибербезопасности. Команда Black Lotus Labs заблокировала новые серверы управления и контроля (Command and Control, C2) и интегрировала индикаторы компрометации в свои системы быстрого обнаружения и реагирования на угрозы.

Первоначально утверждалось, что вредоносная кампания направлена в первую очередь на модели маршрутизаторов DrayTek Vigor с истекшим сроком поддержки (End of Life, EoL) 2960 и 3900. По состоянию на середину февраля 2023 года было скомпрометировано около 100 устройств, подключенных к Интернету. Некоторые из затронутых отраслевых вертикалей включают фармацевтику, IT-услуги, муниципальные органы власти и т.п.

HiatusRAT обладает широкими возможностями и может собирать информацию о маршрутизаторе, запущенных процессах, а также связываться с удаленным C2-сервером для получения файлов или выполнения произвольных команд.

Lumen Technologies уже приняла ряд мер для нейтрализации угрозы, в том числе применение комплексных решений на базе Secure Access Service Edge (SASE). Эксперты рекомендуют использовать современные криптографические протоколы, включая SSL и TLS, для обеспечения безопасности данных при передаче по сети.

Для пользователей с собственными маршрутизаторами крайне важно регулярно обновлять программное обеспечение и следить за состоянием своих устройств. Недопустимо использование устройств с прекращённой поддержкой производителей – это открывает дополнительные векторы для атак хакеров.