Şirketin bildirdiğine göre iki farklı grup bulunuyor. İki hacker grubundan ilkinin daha karmaşık olduğu görülüyor. Qihoo'ya göre grubun, geçen yıl 4 Aralık'ta DrayTek cihazlarına oldukça karmaşık bir saldırı yaptığı radarlar tarafından belirlendi. Qihoo, aynı grubun yönlendiricinin kullanıcı adı ve oturum açma alanındaki kötü amaçlı kodu gizlemek için DrayTek cihazlarının RSA şifreli oturum açma mekanizmasındaki bir güvenlik açığını kötüye kullandığını söyledi.
Araştırmacılar, bilgisayar korsanlarının 21 numaralı bağlantı noktası (FTP - dosya aktarımı), 25 numaralı bağlantı noktası (SMTP - e-posta), 110 numaralı bağlantı noktası (POP3 - e-posta) ve 143 numaralı bağlantı noktası (IMAP - e-posta) üzerinden gelen trafiği kaydeden bir komut dosyası kullandığını sözlerine ekledi. Qihoo araştırmacıları, bilgisayar korsanlarının neden FTP ve e-posta trafiği topladığını tahmin etmediklerini, ancak yapılan görüşmelerde, bir güvenlik araştırmacısı bunun klasik bir keşif operasyonu gibi göründüğüne dikkat çektikten sonra durumun açığa çıktığını söyledi.
Ek olarak, başka bir kaynaktan, grubun saldırı kampanyasının fark edilmediğinin ve diğer siber güvenlik firmaları tarafından gözlem altında tutulduğunun da anlaşıldığı bildirildi. Ancak grubun herhangi bir sunucu altyapısını veya kötü amaçlı yazılım örneğini bilinen başka bir bilgisayar korsanlığı grubuyla paylaşmadığı söylendi; bu nedenle şimdilik yeni bir grup gibi göründüğü paylaşıldı.
Bir grup hacker daha var
DrayTek cihazları Qihoo'nun ‘Saldırı Grubu B’ adını verdiği ikinci bir grup tarafından da kötüye kullanıldı. Bu grup farklı günlerde ortaya çıktı, ancak bilgisayar korsanları bunu kendileri keşfetmedi. Qihoo'ya göre, bilgisayar korsanları bu ikinci saldırıyı, belirli yönlendiricilerde arka kapı hesapları oluşturmak için "rtick" işlemindeki bir hatadan yararlanarak gerçekleştirdi. Bu hesaplarla ne yaptıkları ise hala tam olarak bilinmiyor. Şirket, konuyla ilgili araştırmalarını sürdürmeye ve yeni bilgiler yayınlamaya devam ediyor.