يستهدف برنامج ضار معقد لم يسبق له مثيل، أجهزة توجيه من فئة الشركات للتجسس سرًا على الضحايا في أمريكا اللاتينية، وأوروبا وأمريكا الشمالية على الأقل منذ يوليو 2022.
تم الكشف عن حملة الاحتيال المسماة "هياتوس" من قبل Lumen Black Lotus Labs، التي تهدف إلى نشر برامج ضارة اثنين، حصان طروادة بعيد المدى يسمى HiatusRAT ونوع متغير من برامج tcpdump يسهل اختراق الحزم والتقاطها على الأجهزة المستهدفة.
عند إصابة نظام مستهدف، يمكن لـ HiatusRAT أن يتيح للمتهم التفاعل عن بُعد مع النظام المستهدف واستخدام وظائف مسبقة الصُّنع [...] لتحويل الجِّهَاز المخترَق إلى وكيل سري للمتهم. هذا ما صرّح به التقرير المشترك بين الشركة وThe Hacker News.
يمنح استخدام الثنائي لالتقاط الحزم الممثل قدرة على مراقبة حركة مرور جهاز التوجيه داخل المنافذ المتصلة بالبريد الإلكتروني وكذلك اتصالات نقل الملفات.
تبرز مجموعة التهديدات في المقام الأول باستهداف جهاز توجيه DrayTek Vigor 2960 و 3900 عند نهاية العمر الافتراضي (EoL)، حيث تم اختراق ما يقارب 100 جهاز عرضة للإنترنت اعتبارًا من منتصف فبراير عام 2023. ويشمل ذلك بعض قطاعات الصناعة المستشفَىَية والأدوية، بالإضافة إلى خدمات / استشارات شركات تكنولوجيا المعلومات. وتشمل الحكومة البلدية العديد من المسائل الأخرى.
من المثير للاهتمام أن هذا الجزء الصغير يشكل فقط جزءًا بسيطًا من 4100 جهاز توجيه من نوع DrayTek 2960 و 3900، والتي يمكن الوصول إليها عبر الإنترنت بسهولة. مما يزيد من احتمالية أن الفاعل المهدد سيحافظ على الحد الأدنى من المعرفة لتقليل فرص التعرض له.
بسبب أن الأجهزة التي تأثرت هي أجهزة توجيه بنطاق ترددي عالٍ ممكن أن تدعم مئات من الاتصالات VPN في نفس الوقت، يُشتبه في أن الغاية هي التجسس على الأهداف وإنشاء شبكة وكيل سرية.
قال مدير استخبارات التهديدات في Lumen Black Lotus Labs، مارك ديهوس: "تعيش هذه الأجهزة عادة خارج النطاق الأمني التقليدي، مما يعني أنها لا تخضع للمراقبة أو التحديث. وهذا يساعد الفاعل على إنشاء والحفاظ على المثابرة على المدى الطويل دون الكشف."
المتجه الأول للوصول الدقيق المستخدم في الهجمات غير معروف، إلا أن الاختراق الناجح يُتبع بنشر برنامج نصي bash يُقوم بتنزيل وتنفيذ HiatusRAT وثنائي التقاط الحزمة.
يمتلك HiatusRAT العديد من المميزات، فهو يمكنه جمع معلومات حول جهاز التوجيه وتشغيل العمليات، كما يستطيع الاتصال بخادم بعيد لجلب الملفات أو تشغيل أوامر عشوائية. ولا يقتصر دور هذا البرنامج على ذلك فحسب، فهو قادر أيضًا على إنشاء وكلاء لحركة مرور الأوامر والتحكُّم (C2) عبر جهاز التوجيه.
أفاد الخبراء بأن استخدام أجهزة التوجيه المخترقة كبنية تحتية للوكيل يمكن أن يكون محاولة لإخفاء عمليات C2.
تأتي هذه النتائج بعد مضي أكثر من ستة أشهر على إلقاء Lumen Black Lotus Labs الضوء على حملة برمجيات خبيثة غير مرتبطة تَرِكُزُ على جِهَازِ التُّوْجِيْه، والتي تَمَّ استخدام خيل طروادة جديد يُسَمّى ZuoRAT.
قال ديهوس: تأكد اكتشاف فجوة أن الجهات الفاعلة تعمل على استغلال جهاز التوجيه، وتبين هذه الحملات ضرورة تأمين نظام التشغيل لجهاز التوجيه. كما يتعيّن مراقبة أجهزة التوجيه وإعادة تشغيل وتحديث هذه الأجهزة بانتظام، ولا بد من استبدال المصابيح ذات العمر الافتراضي المنتهية.