Новый вид вредоносного ПО, получивший название «Cuttlefish» (в дословном переводе «каракатица»), был обнаружен в роутерах на крупных предприятиях и в малых офисах. Он следит за всей информацией, проходящей через заражённые устройства, и крадёт учётные данные. Лаборатория Black Lotus Labs сообщает, что Cuttlefish создаёт на роутере прокси- или VPN-туннель для тайной передачи данных, минуя системы обнаружения, фиксирующие подозрительные входы в систему. Вредоносное ПО перехватывает DNS- и HTTP-запросы внутри частных сетей, нарушая внутренние коммуникации и загружая дополнительные вредоносные модули. Несмотря на сходство части кода Cuttlefish с HiatusRat, использовавшимся в кампаниях, соответствующих интересам Китая, прямой связи между этими программами выявлено не было. Cuttlefish активен с июля 2023 года и ведёт наиболее активную кампанию в Турции, а также затрагивает услуги спутниковой связи и центры данных в других регионах. Метод начального заражения роутеров до сих пор не установлен, но, вероятно, используются известные уязвимости или подбор учётных данных. После получения доступа к роутеру запускается bash-скрипт, начинающий сбор данных с хоста, включая список каталогов, активные процессы и соединения. Загруженный скрипт исполняет основную нагрузку Cuttlefish, которая загружается в память, чтобы избежать обнаружения, а файл сразу удаляется из файловой системы. По данным Black Lotus Labs, существуют различные версии Cuttlefish: для ARM, i386 и прочих архитектур. В целом, такое разнообразие покрывает множество типов роутеров. Вредоносное ПО использует фильтры пакетов для мониторинга всех подключений и, обнаружив определённые данные, выполняет действия по заранее заданным правилам, регулярно обновляемым с сервера управления. Cuttlefish активно ищет в трафике маркеры учётных данных, такие как имена пользователей, пароли и токены, особенно связанные с облачными сервисами. Захваченные данные сохраняются локально, а при достижении определённого объёма отправляются злоумышленникам. Для защиты от Cuttlefish сетевым администраторам рекомендуется избавиться от слабых паролей, контролировать необычные входы в систему, использовать защищённые протоколы TLS/SSL, проверять наличие подозрительных файлов, и периодически перезагружать устройства. Кроме того, не лишним будет, особенно для бюджетных роутеров, регулярно проверять обновления прошивки, блокировать удалённый доступ к интерфейсу управления и оперативно заменять устройства по окончании срока поддержки.