Cuttlefish Malware
A Lumen Technologies Black Lotus Labs csapata egy olyan kártevő platformot követ nyomon, amelyet Cuttlefishnek nevezett el, és amely hálózati eszközöket, különösen vállalati szintű kis irodai/otthoni irodai (SOHO) routereket céloz meg. Ez a malware moduláris, és elsősorban arra tervezték, hogy ellopja a szomszédos helyi hálózatról (LAN) a routeren áthaladó webes kérésekben található hitelesítési anyagokat. Másodlagos funkciója révén képes a DNS és a HTTP eltérítésére is a belső hálózaton belüli kommunikációhoz kapcsolódó privát IP-térhez való kapcsolódásokhoz. A Cuttlefish emellett képes a LAN-on belüli más eszközökkel való interakcióra és az anyagok mozgatására vagy új ügynökök bevezetésére. A kódhasonlóságok alapján, a beágyazott építési útvonalakkal együtt, átfedést találtunk egy korábban bejelentett HiatusRat nevű tevékenységcsoporttal, amelynek célpontja megegyezik a Kínai Népköztársaság érdekeivel. Bár a két rosszindulatú programcsalád között van kódbeli átfedés, nem figyeltek meg közös viktimológiát. A Lumen szerint ezek a tevékenységcsoportok egyidejűleg működnek.
A Cuttlefish a célzott hálózat pereme mögötti felhasználók és eszközök adatainak rögzítésére kínál nulla kattintásos elérést. Minden olyan adat, amelyet a rosszindulatú szoftver által behatolt hálózati eszközökön keresztül küldenek, potenciálisan kiszolgáltatottá válik. Ezt a kártevőcsaládot az teszi olyan alattomossá, hogy képes HTTP és DNS eltérítésre a privát IP-címekhez való kapcsolódáshoz. A Cuttlefish várakozik, passzívan szimatol csomagokat, és csak akkor lép fel, ha egy előre meghatározott szabályrendszer kiváltja. A Cuttlefish által használt sniffert hitelesítési anyagok megszerzésére tervezték, különös tekintettel a nyilvános felhőalapú szolgáltatásokra. Az adatok kiszivárgásához a fenyegető szereplő először proxy- vagy VPN tunnelt létre egy kompromittált routeren keresztül, majd lopott hitelesítő adatokkal hozzáfér a célzott erőforrásokhoz. Azzal, hogy a kérést az útválasztón keresztül küldi el kikerülheti az anomális bejelentkezésen alapuló elemzést.
A Lumen elemzése szerint ez a kártevő már 2023. július 27. óta aktív, de találtak olyan kódhivatkozásokat, amelyek arra utalnak, hogy voltak korábbi iterációk is. A legutóbbi kampány 2023 októberétől 2024 áprilisáig tartott. A fertőzési minta egyedülálló volt, mivel a fertőzések 99%-a Törökországon belül történt, főként két távközlési szolgáltatótól származott. Ez a két távközlési cég a fertőzések nagyjából 93%-át – 600 egyedi IP-címet – adta. A maroknyi nem törökországi áldozat között voltak olyan IP-címek, amelyek valószínűleg globális műholdas telefonszolgáltatókhoz kapcsolódó ügyfelek, valamint egy potenciális amerikai adatközponthoz tartoztak.