Nově objevený trojský kůň ZuoRAT byl od roku 2020 nepozorovaně používán a zacílen na routery v malých a domácích kancelářích (SOHO – Small Office/Home Office)). „Není náhodou, že první identifikovaná nasazení ZuoRATu se datují právě do začátku pandemie Covid-19. Její vypuknutí odstartoval živelný přechod na vzdálenou práci a drastické zvýšení počtu SOHO routerů, které zaměstnanci využívají k přístupu do firemní infrastruktury z domova,“ uvádí Martin Lohnert ze společnosti Soitron.
Riziko se týká řady široce používaných routerů, především od společností Asus, Cisco, DrayTek či Netgear. Routery v segmentu SOHO bývají jen zřídka monitorované a servisované, což z nich dělá jedno z nejslabších míst v perimetru sítě. Útok prostřednictvím trojana ZuoRAT nejprve zjišťuje, zda se v routeru stále nachází známé a dosud neopravené chyby. Po úspěšném infikování routeru následuje aktivace a zjištění, jaká zařízení jsou připojená ke směrovači. Útočník pak může pomocí únosu DNS a HTTP komunikace přimět připojená zařízení k instalaci dalšího malwaru. Zahrnuta je také funkce pro sběr dat prostřednictvím protokolu TCP přes porty 21 a 8443, které se používají k FTP připojení a procházení webu, což protivníkovi potenciálně umožňuje sledovat internetovou aktivitu uživatelů z napadeného routeru.
„Bylo vynaloženo velké úsilí, aby ZuoRAT zůstal neodhalen. Útočná infrastruktura navíc byla zvláště vysoce sofistikovaná. Přestože identifikovaných napadení ZuoRATem prozatím není nijak závratné množství, nikdo si nemůže být jist, že se to netýká i jeho domácího routeru. Jde doslova o časovanou bezpečnostní bombu, která může začít škodit kdykoliv,“ říká M. Lohnert.
Ochrana proti takovémuto způsobu z pohledu domácího uživatele spočívá především v pravidelné aktualizaci jejich firmwarů a všímání si podezřelého chovaní domácí sítě. Firmy by si navíc měly uvědomit, že IT prvkům mimo infrastrukturu organizace nelze věřit – měly by počítat s tím, že jsou potenciálně nebezpečné.