Το κακόβουλο λογισμικό σουπιών απέχει πολύ από το να είναι χαριτωμένο, είναι μια πολύ επικίνδυνη απειλή για τον υπολογιστή

Το κακόβουλο λογισμικό Cuttlefish, παρά το φαινομενικά αβλαβές όνομά του, αποτελεί σημαντική απειλή για τους δρομολογητές μικρών γραφείων και γραφείων στο σπίτι (SOHO). Ο πρωταρχικός του στόχος είναι να παρακολουθεί κρυφά την κυκλοφορία δικτύου που διέρχεται από αυτές τις συσκευές και να συλλέγει δεδομένα ελέγχου ταυτότητας από αιτήματα HTTP GET και POST. Σύμφωνα με μια αναφορά της ομάδας Black Lotus Labs της Lumen Technologies, το Cuttlefish λειτουργεί ως αρθρωτό κακόβουλο λογισμικό, με κύρια εστίαση στην κλοπή πληροφοριών ελέγχου ταυτότητας που μεταδίδονται μέσω του τοπικού δικτύου (LAN) του δρομολογητή. Επιπλέον, έχει τη δυνατότητα να εκτελεί πειρατεία DNS και HTTP για συνδέσεις σε ιδιωτικούς χώρους IP εντός ενός εσωτερικού δικτύου.

Υπάρχουν ενδείξεις ότι το Cuttlefish μοιράζεται ομοιότητες με ένα άλλο γνωστό κακόβουλο λογισμικό που ονομάζεται HiatusRAT, αν και δεν έχουν παρατηρηθεί ακόμη περιπτώσεις κοινής θυματολογίας. Το Cuttlefish είναι ενεργό τουλάχιστον από τις 27 Ιουλίου 2023, με την τελευταία του καμπάνια που διαρκεί από τον Οκτώβριο του 2023 έως τον Απρίλιο του 2024, επηρεάζοντας κατά κύριο λόγο 600 μοναδικές διευθύνσεις IP που σχετίζονται με δύο Τούρκους παρόχους τηλεπικοινωνιών.

Ο φορέας αρχικής πρόσβασης που χρησιμοποιείται από τη Cuttlefish για να θέσει σε κίνδυνο τον εξοπλισμό δικτύωσης παραμένει ασαφής. Ωστόσο, μόλις αποκτήσει βάση, αναπτύσσει ένα σενάριο bash για να συλλέξει δεδομένα κεντρικού υπολογιστή και να τα διευρύνει σε έναν τομέα που ελέγχεται από τους ηθοποιούς. Στη συνέχεια, κατεβάζει και εκτελεί το ωφέλιμο φορτίο Cuttlefish προσαρμοσμένο στην αρχιτεκτονική του δρομολογητή. Συγκεκριμένα, το Cuttlefish εστιάζει στην παθητική οσμή πακέτων δικτύου για να στοχεύσει δεδομένα ελέγχου ταυτότητας που σχετίζονται με δημόσιες υπηρεσίες που βασίζονται σε σύννεφο όπως το Alicloud, οι υπηρεσίες Web Amazon (AWS), το Digital Ocean, το CloudFlare και το BitBucket, χρησιμοποιώντας ένα εκτεταμένο φίλτρο πακέτων Berkeley (eBPF).

Η λειτουργικότητα του κακόβουλου λογισμικού διέπεται από ένα σύνολο κανόνων που ανακτάται από έναν διακομιστή εντολών και ελέγχου (C2), επιτρέποντάς του να κλέβει την κυκλοφορία που προορίζεται για ιδιωτικές διευθύνσεις IP ή να εκκινεί μια λειτουργία ανίχνευσης για κίνηση που κατευθύνεται σε δημόσιες IP για να κλέψει διαπιστευτήρια. Επιπλέον, το Cuttlefish μπορεί να λειτουργήσει ως διακομιστής μεσολάβησης και ως VPN για τη μετάδοση δεδομένων που έχουν συλληφθεί μέσω του παραβιασμένου δρομολογητή, επιτρέποντας στους φορείς απειλής να έχουν πρόσβαση σε στοχευμένους πόρους χρησιμοποιώντας κλεμμένα διαπιστευτήρια.

Συνοπτικά, το Cuttlefish αντιπροσωπεύει μια εξελιγμένη εξέλιξη στο κακόβουλο λογισμικό παθητικής υποκλοπής για εξοπλισμό δικτύωσης αιχμής, που συνδυάζει τη χειραγώγηση διαδρομής, την αεροπειρατεία σύνδεσης και τις δυνατότητες παθητικής ανίχνευσης. Η ικανότητά του να κλέβει δεδομένα επαλήθευσης ταυτότητας όχι μόνο παρέχει πρόσβαση σε πόρους cloud, αλλά δημιουργεί επίσης μια θέση στο οικοσύστημα cloud της στοχευόμενης οντότητας, αποτελώντας σημαντική απειλή για την ασφάλεια στον κυβερνοχώρο.