Nově objevený trojský kůň ZuoRAT byl od roku 2020 nepozorovaně používán a zacílen na routery nacházející se v malých a domácích kancelářích (SOHO – Small Office/Home Office)). „Není náhodou, že první identifikovaná nasazení ZuoRATu se datují právě do začátku pandemie Covid-19. Její vypuknutí odstartoval živelný přechod na vzdálenou práci a drastické zvýšení počtu SOHO routerů, které zaměstnanci využívají k přístupu do firemní infrastruktury z domova,“ vysvětluje Martin Lohnert, specialista pro oblast kyberbezpečnosti ve společnosti Soitron.

Nebezpečí postihlo celou řadu široce používaných routerů, především od společností Asus, Cisco, DrayTek či Netgear. Smutnou pravdou je, že téměř všechny SOHO routery jsou jen zřídka monitorované a servisované, což z nich dělá jedno z nejslabších míst v perimetru sítě. Proto mohou velmi dobře posloužit ke sběru dat, nebo kompromitaci zařízení připojených do sítě. „Běžný uživatel po zakoupení routeru provede jeho základní konfiguraci, nebo mu ji provede jeho IT technik, a začne ho využívat. Bohužel málokdy se stane, že by ho potom někdy zkontroloval, nebo provedl update jeho firmware. A přesně tento přístup představuje potenciální velké riziko,“ vysvětluje Martin Lohnert.

Náhlý přechod k práci na dálku umožnil sofistikovaným útočníkům využít této příležitosti a překonat tradiční IT obranu mnoha dobře zavedených organizací. Po infikování routeru (většinou bez nastavení ochrany proti známým bezpečnostním chybám) pomocí skriptu dojde ke snadnému nasazení malwaru ZuoRAT. Ten potom může kompromitovat v síti připojená zařízení a nainstalovat další škodlivý software, a to jak do Windows, tak Mac Os a Linuxu.

Útok prostřednictvím ZuoRAT je veden prostřednictvím zjištění, zda se v routeru stále nachází známé a dosud neopravené chyby. Po úspěšném infikování routeru následuje aktivace a zjištění, jaká zařízení jsou připojená ke směrovači. Útočník pak může pomocí únosu DNS a HTTP komunikace přimět připojená zařízení k instalaci dalšího malwaru. Zahrnuta je také funkce pro sběr dat prostřednictvím TCP protokolu přes porty 21 a 8443, které se používají k FTP připojení a procházení webu, což protivníkovi potenciálně umožňuje sledovat internetovou aktivitu uživatelů z napadeného routeru.

Útok je veden velmi profesionálně. „Bylo vynaloženo velké úsilí, aby ZuoRAT zůstal neodhalen. Útočná infrastruktura navíc byla zvláště vysoce sofistikovaná. Přestože identifikovaných napadení ZuoRATem prozatím není nijak závratné množství, nikdo si nemůže být jist, že se to netýká i jeho domácího routeru. Jde doslova o časovanou bezpečnostní bombu, která může začít škodit kdykoliv,“ vyzdvihuje Martin Lohnert.

Ochrana proti takovémuto způsobu z pohledu domácího uživatele spočívá především v pravidelné aktualizaci jejich firmwarů a všímání si podezřelého chovaní domácí sítě. Firmy by si navíc měly uvědomit, že IT prvkům mimo infrastrukturu organizace nelze věřit – měly by počítat s tím, že jsou potenciálně nebezpečné. Přece jen je nemají ve své gesci, a tak by k nim vždy měly přistupovat jako k nedůvěryhodným zařízením.