Cuttlefish: скрытный морской шпион прямо в вашем роутере

Новый вид вредоносного ПО, получивший название «Cuttlefish» (в дословном переводе «каракатица»), был обнаружен в роутерах на крупных предприятиях и в малых офисах. Он следит за всей информацией, проходящей через заражённые устройства, и крадёт учётные данные.

Лаборатория Black Lotus Labs сообщает, что Cuttlefish создаёт на роутере прокси- или VPN-туннель для тайной передачи данных, минуя системы обнаружения, фиксирующие подозрительные входы в систему.

Вредоносное ПО перехватывает DNS- и HTTP-запросы внутри частных сетей, нарушая внутренние коммуникации и загружая дополнительные вредоносные модули.

Несмотря на сходство части кода Cuttlefish с HiatusRat, использовавшимся в кампаниях, соответствующих интересам Китая, прямой связи между этими программами выявлено не было.

Cuttlefish активен с июля 2023 года и ведёт наиболее активную кампанию в Турции, а также затрагивает услуги спутниковой связи и центры данных в других регионах.

Метод начального заражения роутеров до сих пор не установлен, но, вероятно, используются известные уязвимости или подбор учётных данных. После получения доступа к роутеру запускается bash-скрипт, начинающий сбор данных с хоста, включая список каталогов, активные процессы и соединения.

Загруженный скрипт исполняет основную нагрузку Cuttlefish, которая загружается в память, чтобы избежать обнаружения, а файл сразу удаляется из файловой системы.

По данным Black Lotus Labs, существуют различные версии Cuttlefish: для ARM, i386 и прочих архитектур. В целом, такое разнообразие покрывает множество типов роутеров.

Вредоносное ПО использует фильтры пакетов для мониторинга всех подключений и, обнаружив определённые данные, выполняет действия по заранее заданным правилам, регулярно обновляемым с сервера управления.

Cuttlefish активно ищет в трафике маркеры учётных данных, такие как имена пользователей, пароли и токены, особенно связанные с облачными сервисами. Захваченные данные сохраняются локально, а при достижении определённого объёма отправляются злоумышленникам.

Для защиты от Cuttlefish сетевым администраторам рекомендуется избавиться от слабых паролей, контролировать необычные входы в систему, использовать защищённые протоколы TLS/SSL, проверять наличие подозрительных файлов, и периодически перезагружать устройства.

Кроме того, не лишним будет, особенно для бюджетных роутеров, регулярно проверять обновления прошивки, блокировать удалённый доступ к интерфейсу управления и оперативно заменять устройства по окончании срока поддержки.