» data-html=»true» data-original-title=»RAT»>RAT), получивший название HiatusRAT, и вариацию tcpdump, позволяющую перехватывать пакеты на целевом устройстве.

«После того как целевая система заражена, HiatusRAT позволяет злоумышленнику удаленно взаимодействовать с системой и использует встроенную функциональность для преобразования скомпрометированной машины в скрытый прокси для злоумышленника», — говорится в отчёте
компании Lumen.

«Двоичный файл захвата пакетов позволяет хакерам отслеживать трафик маршрутизатора на портах, связанных с электронной почтой и передачей файлов».

Вредоносная кампания направлена в первую очередь на модели маршрутизаторов DrayTek Vigor с истекшим сроком поддержки (EoL) 2960 и 3900. По состоянию на середину февраля этого года было скомпрометировано около 100 устройств, подключенных к Интернету. Некоторые из затронутых отраслевых вертикалей включают фармацевтику, IT-услуги, муниципальные органы власти и т.п.

Интересно, что это лишь небольшая часть из более чем 4 тысяч маршрутизаторов DrayTek 2960 и 3900, которые находятся в открытом интернет-доступе. Учитывая, что затронутые устройства представляют собой маршрутизаторы с высокой пропускной способностью, которые могут одновременно поддерживать сотни VPN («Virtual Private Network» или «виртуальная частная сеть») — это совокупность технологий для создания одного или нескольких сетевых соединений (логической сети) поверх другой сети (например, Интернет). Технология создает виртуальный зашифрованный туннель между двумя серверами, представляя отправленные с устройства данные в виде случайной и зашифрованной строки кода. VPN также маскирует IP-адрес и местоположение пользователя в реальном времени для доступа к контенту без ограничений.