Contacto
¿Estás teniendo un incidente?
Contacto
Volver
Un router comprometido puede ser un puente al espionaje.
Compartir:
DefensivaTécnico
3
minutos

Vulnerabilidades exploradas com o HitatusRAT

O HiatusRAT foi descoberto pela primeira vez em março de 2023 durante uma investigação de segurança cibernética que detectou atividades incomuns em redes corporativas. Esse malware permite que os invasores controlem remotamente os dispositivos infectados, interceptem comunicações e usem roteadores como pontos de acesso para atividades mal-intencionadas.

 

O principal objetivo do HiatusRAT é se infiltrar em redes usando roteadores vulneráveis e transformá-los em ferramentas de espionagem e anonimização.

 

O HiatusRAT foi inicialmente conhecido por ter como alvo os roteadores DrayTek Vigor 2960 e 3900, comumente usados em pequenas e médias empresas. Explorando vulnerabilidades conhecidas nesses dispositivos e tirando proveito de senhas fracas ou configurações padrão, ele conseguiu infectar aproximadamente cem sistemas em regiões como América do Norte, Europa e América Latina.

 

Parte de sua evolução tem sido a expansão de seu alcance, adaptando-se a novas arquiteturas, como ARM e x86, refletindo a crescente sofisticação dos agentes por trás do malware. Esse cavalo de Troia não apenas compromete a integridade dos dispositivos infectados, mas também apresenta sérios riscos à privacidade e à segurança das redes às quais eles estão conectados.

 

O HiatusRAT é uma ilustração clara de como os invasores estão voltando sua atenção para os dispositivos de rede que, historicamente, têm sido subestimados em termos de segurança. Seu surgimento ressalta a necessidade de fortalecer as defesas em torno de roteadores e dispositivos de IoT, que geralmente representam pontos de entrada vulneráveis nas infraestruturas modernas.

 

Métodos de ataque

Os métodos de ataque de malware podem ser divididos em três categorias principais: exploração de vulnerabilidades, abuso de configurações inseguras e manipulação do tráfego de rede.

 

Exploração de vulnerabilidades

Uma das principais estratégias é explorar vulnerabilidades conhecidas em dispositivos de rede. Isso inclui pontos fracos no firmware de roteadores e dispositivos de IoT, muitos dos quais foram documentados anteriormente, mas não foram corrigidos pelos administradores.

Os atores por trás do HiatusRAT procuram dispositivos expostos usando varreduras automatizadas em grandes segmentos de endereços IP. Quando encontram dispositivos vulneráveis, eles injetam malware para obter acesso persistente.

 

Uso indevido de senhas fracas e configurações padrão

O HiatusRAT também explora senhas padrão ou fracas para obter acesso inicial aos dispositivos. Muitos roteadores e dispositivos de IoT vêm configurados com senhas padrão, como “admin” ou “123456”, que geralmente não são alteradas pelos usuários.

O malware realiza ataques de força bruta direcionados a essas configurações inseguras, o que permite estabelecer uma conexão inicial sem a necessidade de explorar vulnerabilidades mais avançadas. Esse método é especialmente eficaz contra pequenas empresas ou usuários domésticos que não implementam medidas básicas de segurança.

 

Manipulação e controle do tráfego de rede

Quando o HiatusRAT compromete um dispositivo, ele implementa várias funções projetadas para interceptar, analisar e redirecionar o tráfego de rede. Essas funções incluem:

 

  • Configuração de proxy SOCKS5: o malware configura servidores proxy em dispositivos comprometidos, permitindo que os invasores redirecionem o tráfego mal-intencionado por meio deles para ocultar sua origem. Isso cria redes proxy secretas que podem ser usadas para atividades ilegais, como distribuição de malware ou ataques DDoS.
  • Captura de tráfego ao vivo: o HiatusRAT pode monitorar o tráfego que passa pelo dispositivo comprometido, permitindo que os invasores capturem dados confidenciais, como credenciais de login ou informações confidenciais transmitidas sem criptografia.
  • Persistência e movimento lateral: por meio do controle do tráfego, o malware também pode identificar outros dispositivos na rede que podem ser vulneráveis, ampliando seu alcance dentro de uma organização.

 

Uso de scripts maliciosos e automação

O HiatusRAT inclui scripts automatizados que simplificam a instalação e a configuração do malware. Isso reduz a necessidade de intervenção manual por parte dos invasores e permite que o malware seja rapidamente implantado em um grande número de dispositivos.

 

 

Desenvolvimentos e atividades recentes

Desde sua primeira identificação em março de 2023, o HiatusRAT provou ser uma ameaça persistente e adaptável. Esse cavalo de Troia de acesso remoto, inicialmente projetado para comprometer roteadores de nível empresarial, evoluiu tanto em seus alvos quanto em seu escopo técnico. A seguir, apresentamos uma cronologia de sua atividade e as estratégias empregadas pelos agentes mal-intencionados por trás desse malware.

 

Março de 2023: Descoberta e primeiros ataques

O HiatusRAT foi detectado por pesquisadores de segurança cibernética ao atacar os roteadores DrayTek Vigor 2960 e 3900, dispositivos populares entre as pequenas e médias empresas por sua robustez e funcionalidade. Nesse estágio inicial:

 

  • Escopo geográfico: os ataques se concentraram na América Latina, Europa e América do Norte.
  • Número de dispositivos comprometidos: aproximadamente 100 roteadores.
  • Objetivo: os invasores usaram o malware para espionar as comunicações e desviar o tráfego da rede, além de usar os roteadores comprometidos como proxies secretos.

 

Junho a agosto de 2023: Adaptação e novas metas

No verão de 2023, o HiatusRAT mostrou um avanço notável em seu desenvolvimento técnico. Os criminosos cibernéticos introduziram novas versões do malware para ampliar sua capacidade de ataque:

 

  • Compatibilidade estendida: as versões foram compiladas para arquiteturas adicionais, como ARM, Intel 80386 e x86-64, permitindo o suporte a uma variedade maior de dispositivos.
  • Mudança nos alvos: Os ataques incluíram alvos de alto perfil, como um sistema de compras militares dos EUA e organizações em Taiwan, sugerindo um possível interesse em atividades estratégicas de espionagem cibernética.
  • Técnicas avançadas: os atacantes usaram o malware para estabelecer redes de espionagem mais sofisticadas, destacando sua capacidade de se adaptar rapidamente.

 

Março de 2024: Foco em dispositivos IoT

A atividade mais recente do HiatusRAT revela uma mudança estratégica em direção ao ecossistema de dispositivos IoT, explorando vulnerabilidades específicas e configurações de segurança fracas. Durante esse período, os pesquisadores identificaram:

 

  • Novas áreas de ataque: dispositivos de IoT, como webcams e gravadores de vídeo digital (DVRs), especialmente os de marcas chinesas, tornaram-se alvos principais.
  • Geografia ampliada: as campanhas de varredura visavam dispositivos nos Estados Unidos, Austrália, Canadá, Nova Zelândia e Reino Unido.
  • Exploração de vulnerabilidades conhecidas: as falhas exploradas incluem:
    • CVE-2017-7921: acesso remoto não autenticado em dispositivos Dahua.
    • CVE-2018-9995: desvio de autenticação em DVRs.
    • CVE-2021-36260: vulnerabilidade de execução remota de código em câmeras Hikvision.
  • Uso de senhas padrão: os atacantes também exploraram configurações básicas de segurança, como o uso de credenciais padrão, para comprometer dispositivos em grande escala.

 

 

Recomendações de segurança

O HiatusRAT, assim como outros cavalos de Troia de acesso remoto, representa uma ameaça significativa à rede corporativa e aos dispositivos de IoT. Veja a seguir as práticas recomendadas para proteção contra esse malware e minimização do impacto em caso de comprometimento.

 

Atualização e correção de dispositivos

Manter os dispositivos atualizados é uma das defesas mais eficazes. Os fabricantes geralmente lançam patches para solucionar vulnerabilidades conhecidas. As organizações devem:

 

  • Identifique todos os dispositivos de rede em uso, incluindo roteadores e dispositivos de IoT.
  • Aplique os patches de segurança mais recentes disponíveis.
  • Considere a substituição de dispositivos que não são mais suportados pelo fabricante.

 

Por exemplo, os roteadores comprometidos em ataques anteriores (como o DrayTek Vigor) podem ter se beneficiado de atualizações críticas de firmware para bloquear o acesso de malware.

 

Senhas fortes e exclusivas

O HiatusRAT explorou senhas padrão e fracas para comprometer os dispositivos. Para mitigar esse risco:

 

  • Altere imediatamente as senhas padrão em todos os dispositivos de rede e de IoT.
  • Crie senhas complexas que incluam combinações de letras, números e símbolos.
  • Implemente políticas de rotação de senhas para contas administrativas confidenciais.

 

Um exemplo prático seria o uso de ferramentas de gerenciamento de senhas para gerar e armazenar credenciais seguras.

 

Autenticação multifatorial (MFA)

A autenticação multifatorial acrescenta uma camada adicional de segurança, dificultando o acesso dos invasores, mesmo que eles tenham comprometido uma senha. Recomendado:

 

  • Ative a MFA em todos os sistemas e dispositivos compatíveis.
  • Use aplicativos autenticadores ou dispositivos físicos (como tokens) em vez de mensagens de texto SMS, que são mais vulneráveis.

 

Monitoramento de rede

Um sistema de monitoramento proativo pode identificar comportamentos anômalos associados ao HiatusRAT, como a configuração de proxy ou a captura de tráfego. As organizações devem:

 

  • Implementar ferramentas de monitoramento de rede, como SIEM (Security Information and Event Management).
  • Configure alertas automáticos para atividades suspeitas, como tráfego para endereços IP desconhecidos.
  • Inspecione regularmente os registros em busca de sinais de comprometimento.

 

Por exemplo, os proxies configurados pelo HiatusRAT podem gerar padrões de tráfego incomuns que um bom sistema de monitoramento poderia detectar.

 

Segmentação de rede

A segmentação da rede é uma estratégia eficaz para conter o escopo de um ataque. Essa abordagem pode limitar o movimento lateral do malware e proteger os dispositivos essenciais. As principais recomendações incluem:

 

  • Dividir a rede em segmentos separados de acordo com a função (por exemplo, separar a IoT da rede principal).
  • Use listas de controle de acesso (ACLs) para restringir o tráfego entre segmentos.
  • Aplique políticas de privilégio mínimo para que os dispositivos tenham apenas o acesso necessário.

 

Segurança de dispositivos IoT

Os dispositivos de IoT são particularmente vulneráveis a esses ataques. As organizações devem:

 

  • Escolha dispositivos de fabricantes que priorizem a segurança e ofereçam suporte contínuo.
  • Desative serviços ou funções desnecessários para reduzir a superfície de ataque.
  • Isole os dispositivos IoT em uma rede dedicada, separada da infraestrutura da empresa.

 

Treinamento e conscientização

Por fim, os funcionários devem ser treinados para reconhecer ameaças como o HiatusRAT. Os programas regulares de treinamento em segurança cibernética podem incluir:

 

  • Identificação de e-mails de phishing que tentam comprometer as credenciais.
  • Práticas recomendadas para o gerenciamento de dispositivos de rede.
  • Simulações de ataques para avaliar e melhorar a preparação organizacional.

 

Essas medidas, implementadas em conjunto, podem fortalecer significativamente a segurança das infraestruturas contra ameaças avançadas, como o HiatusRAT, protegendo tanto as organizações quanto os usuários finais.

 

Conclusão

O surgimento e a evolução do HiatusRAT destacam um desafio crescente no cenário da segurança cibernética: a vulnerabilidade dos dispositivos em rede e da Internet das Coisas (IoT). Esse malware não só provou ser capaz de explorar falhas técnicas, mas também de se adaptar rapidamente a novas arquiteturas e alvos. Sua capacidade de capturar tráfego, estabelecer redes proxy secretas e comprometer infraestruturas essenciais ressalta a importância de fortalecer nossas defesas cibernéticas.

 

O caso HiatusRAT nos lembra que a segurança cibernética não é estática. Os agentes mal-intencionados estão constantemente inovando, usando ferramentas avançadas para violar sistemas que muitas vezes são ignorados, como roteadores e dispositivos de IoT. Isso exige uma abordagem proativa das organizações e dos usuários, que deve incluir atualizações regulares, implementação de senhas fortes, adoção de autenticação multifator (MFA) e monitoramento contínuo da rede.

 

Além disso, o HiatusRAT é um alerta para que os fabricantes de hardware priorizem a segurança no design de seus produtos. Como a IoT continua a se expandir, a pressão para garantir a segurança desde a fase de desenvolvimento só aumentará.

 

O futuro dos ataques cibernéticos está intrinsecamente ligado à evolução tecnológica. Embora ferramentas como o HiatusRAT representem uma ameaça significativa, elas também são uma oportunidade para as comunidades técnicas, governamentais e comerciais colaborarem na criação de padrões mais fortes, melhores políticas de segurança e maior conscientização do público.

 

Em última análise, a melhor defesa contra ameaças como o HiatusRAT é uma combinação de tecnologia robusta, treinamento adequado e adoção de uma mentalidade de segurança proativa. Isso não apenas protege nossas redes e dados, mas também contribui para um ambiente digital mais seguro para todos.

 

Notas
recientes
em geral
6
minutos

Threat Hunting com previsão comportamental

Estamos constantemente em busca de elementos que nos ajudem a prever como seremos atacados e, assim, fazer algo proativamente para reduzir esses riscos. A Inteligência sobre Ameaças Cibernéticas (CTI) é a disciplina que coleta,...
ver más ...

Trabajamos de forma
interconectada desde
América Latina, USA
y Europa.

Contactános

Certificaciones

Logros

Políticas

RRSS

iconos pie -13-svg
iconos pie -14-svg
iconos pie -12-svg

© BASE4 Security S.A. Todos los derechos reservados 2025