A tintahal-malware messze nem aranyos, hanem nagyon veszélyes számítógépes fenyegetés

A Cuttlefish kártevő, látszólag ártalmatlan neve ellenére, jelentős veszélyt jelent a kis irodai és otthoni irodai (SOHO) útválasztókra. Elsődleges célja az ezeken az eszközökön áthaladó hálózati forgalom titkos megfigyelése, és hitelesítési adatok gyűjtése a HTTP GET és POST kérésekből. A Lumen Technologies Black Lotus Labs csapatának jelentése szerint a Cuttlefish moduláris rosszindulatú programként működik, amelynek elsődleges célja az útválasztó helyi hálózatán (LAN) keresztül továbbított hitelesítési információk ellopása. Ezenkívül képes DNS- és HTTP-eltérítést végrehajtani a belső hálózaton belüli privát IP-területekhez való csatlakozáshoz.

Vannak arra utaló jelek, hogy a Cuttlefish hasonlóságot mutat egy másik, HiatusRAT nevű rosszindulatú programmal, bár még nem figyeltek meg megosztott viktimológiai eseteket. A Cuttlefish legalább 2023. július 27. óta aktív, legutóbbi kampánya pedig 2023 októberétől 2024 áprilisáig tart, és túlnyomórészt két török távközlési szolgáltatóhoz társított 600 egyedi IP-címet érint.

A Cuttlefish által a hálózati berendezések veszélyeztetésére használt kezdeti hozzáférési vektor továbbra is tisztázatlan. Ha azonban megveti a lábát, egy bash-szkriptet telepít a gazdagépadatok összegyűjtésére és a szereplők által vezérelt tartományba való kiszűrésére. Ezt követően letölti és végrehajtja az útválasztó architektúrájához szabott Cuttlefish hasznos terhet. Nevezetesen, a Cuttlefish a passzív hálózati csomagszippantásra összpontosít az olyan nyilvános felhőalapú szolgáltatásokhoz kapcsolódó hitelesítési adatok megcélzására, mint az Alicloud, az Amazon Web Services (AWS), a Digital Ocean, a CloudFlare és a BitBucket, egy kiterjesztett Berkeley csomagszűrőt (eBPF) használva.

A rosszindulatú program működését egy parancs- és vezérlőkiszolgálóról (C2) letöltött szabálykészlet szabályozza, amely lehetővé teszi a privát IP-címekre irányuló forgalom eltérítését, vagy a nyilvános IP-címekre irányuló forgalom szippantási funkciójának elindítását a hitelesítő adatok ellopása érdekében. Ezenkívül a Cuttlefish proxyként és VPN-ként is működhet, hogy a rögzített adatokat a feltört útválasztón keresztül továbbítsa, lehetővé téve a fenyegetés szereplői számára, hogy lopott hitelesítő adatok segítségével hozzáférjenek a célzott erőforrásokhoz.

Összefoglalva, a Cuttlefish a passzív lehallgató rosszindulatú programok kifinomult fejlődését képviseli a peremhálózati berendezésekhez, kombinálva az útvonal-manipulációt, a kapcsolateltérítést és a passzív szippantást. A hitelesítési adatok ellopására való képessége nemcsak hozzáférést biztosít a felhő-erőforrásokhoz, hanem a megcélzott entitás felhő-ökoszisztémájában is megtámasztja a lábát, jelentős fenyegetést jelentve a kiberbiztonságra nézve.