Routery TP-Link z wszczepionym backdoorem

kapitanhack.pl 1 rok temu

Badacze z Check Point odkryli, iż sponsorowana przez państwo chińska grupa APT wszczepiła złośliwe oprogramowanie układowe do routerów TP-Link. Backdoor został utworzony w ramach kampanii ataków wymierzonych w europejskie podmioty zajmujące się sprawami zagranicznymi.

Odkrycia te są wynikiem długofalowego działania, w którym sprawdzane jest oprogramowanie układowe różnych urządzeń.

„W ostatnich latach obserwujemy rosnące zainteresowanie chińskich cyberprzestępców włamywaniem się do urządzeń brzegowych, mając na celu zarówno zbudowanie odpornej i bardziej anonimowej infrastruktury C&C, jak i zdobycie przyczółka w określonych sieciach docelowych”.

Niestandardowe złośliwe oprogramowanie dla routerów TP-Link

Złośliwe oprogramowanie zostało stworzone wyłącznie dla routerów TP-Link. Wśród wielu szkodliwych komponentów znajduje się również dostosowany backdoor o nazwie „Horse Shell”.

Horse Shell ma trzy główne funkcje:

  • zdalna powłoka — zapewnia cyberprzestępcom pełny dostęp do zainfekowanego urządzenia,
  • przesyłanie plików — umożliwia podmiotom odpowiedzialnym za zagrożenia przesyłanie i pobieranie plików do i z zainfekowanego urządzenia,
  • tunelowanie SOCKS — umożliwia cyberprzestępcom zaciemnianie źródła i miejsca docelowego ruchu oraz ukrywanie C2 przed obrońcami.

Backdoor umożliwia atakującym przejęcie pełnej kontroli nad urządzeniem i pozostawanie w ukryciu podczas uzyskiwania dostępu do zaatakowanych sieci.

Jak modyfikowane są urządzenia?

Ustalono, iż do otrzymanego systemu układowego dodano wiele plików, a kilka innych zostało zmodyfikowanych:

Dodane pliki:

  • /usr/bin/sheel,
  • /usr/bin/shell,
  • /usr/bin/timer,
  • /usr/bin/udhcp.

Zmodyfikowane pliki:

  • /etc/rc.d/rcS,
  • /web/userRpm/SoftwareUpgradeRpm.htm.
Źródło: Checkpoint

Badacze nie są pewni, w jaki sposób atakujący zdołali zainfekować routery, ale uważają, iż prawdopodobnie uzyskali oni dostęp, wykorzystując znane luki w zabezpieczeniach lub domyślne, słabe bądź łatwe do odgadnięcia hasła.

Chociaż kampanie były skierowane do europejskich podmiotów spraw zagranicznych, badacze nie wiedzą, kim są ofiary implantu routera.

„Ucząc się z historii, implanty routerów są często instalowane na dowolnych urządzeniach bez szczególnego zainteresowania, w celu stworzenia łańcucha węzłów między głównymi infekcjami a rzeczywistym dowodzeniem i kontrolą. Innymi słowy, zainfekowanie routera domowego nie oznacza, iż właściciel domu był konkretnie celem ataków, ale raczej, iż są one jedynie środkiem do celu” – wyjaśnili badacze.

Szczegóły na temat backdoora znajdziecie tutaj.

Dla zainteresowanych tematyką hakowania urządzeń – pisaliśmy niedawno o tym, jak można utworzyć backdoor (implant) w urządzeniu Dell.

Idź do oryginalnego materiału