Эксперты китайской компании Qihoo 360 опубликовали отчет, в котором предупредили, что с декабря 2019 года неизвестные хакерские группы взламывают корпоративные маршрутизаторы DrayTek для прослушивания FTP-трафика и электронной почты внутри корпоративных сетей. По данным специалистов, как минимум две группировки используют разные 0-day уязвимости в устройствах DrayTek Vigor (маршрутизаторах с балансировкой нагрузки и VPN-шлюзах, обычно применяемых в корпоративных сетях). Так, по данным аналитиков, атаки наблюдаются на устройства DrayTek Vigor 2960 , 3900 и 300B. Первая группа, которую исследователи обозначили как «группу А», демонстрирует более сложную тактику. Эти злоумышленники действуют с 4 декабря 2019 года и злоупотребляют уязвимостью в механизме входа в систему с шифрованием RSA. Таким образом они скрывают вредоносный код в поле ввода имени пользователя. Когда маршрутизатор DrayTek получает, а затем расшифровывает такие учетные данные, он запускает вредоносный код, и хакеры полностью перехватывают контроль над устройством. Но вместо того чтобы традиционно использовать скомпрометированный девайс для организации DDoS-атак или проксирования трафика, хакеры используют его как инструмент для шпионажа и разведки. Так, исследователи пишут, что злоумышленники из группы А разворачивают на устройствах скрипт, который записывает весь трафик, проходящий через порт 21 (FTP, передача файлов), порт 25 (SMTP, электронная почта), порт 110 (POP3, электронная почта) и порт 143 (IMAP, электронная почта). Затем каждый понедельник, среду и пятницу в 00:00 этот скрипт загружает весь записанный трафик на удаленный сервер. Также устройства DrayTek подвергаются атакам со стороны второй группировки, которую исследователи обозначили как «группу B». Эта группа использовала другую уязвимость нулевого дня, но хакеры обнаружили ее не сами. Данный 0-day был описан в сообщении от 26 января 2020 года в блоге Skull Army, и хакеры начали эксплуатировать проблему два дня спустя. По информации Qihoo 360, эта группа применяет вторую проблема нулевого дня для выполнения кода: они используют ошибку в процессе rtick для создания учетных записей на взломанных маршрутизаторах. Что именно происходит с этими учетными записями после создания, пока остается неизвестным. После обнаружения атак эксперты китайской компании уведомили инженеров DrayTek об обеих проблемах, однако их первое предупреждение было направленно по неверному каналу, и персонал DrayTek его не заметил. После атак группы В, в январе текущего года, производитель все же «услышал» экспертов и уже 10 февраля выпустил исправленные версии прошивки, даже для тех устройств, чья поддержка уже была прекращена. Тем не менее, установить обновления успели еще далеко не все. Согласно поисковику BinaryEdge, сейчас в интернете можно найти более 978 000 устройств DrayTek Vigor, и, как утверждают исследователи, около 100 000 из них по-прежнему имеют уязвимые версии прошивок.