Onderzoekers hebben dinsdag een belangrijke ontdekking onthuld: kwaadaardige firmware die een breed scala aan routers voor woningen en kleine kantoren in een netwerk zou kunnen vangen dat heimelijk verkeer naar command-and-control-servers leidde die worden beheerd door door de Chinese staat gesponsorde hackers.
De firmware-implantatie wordt gedetecteerd in een bestand Schrijven Van Check Point Research bevat het een volledig uitgeruste achterdeur waarmee aanvallers verbindingen tot stand kunnen brengen en bestanden kunnen overdragen met behulp van geïnfecteerde apparaten, op afstand opdrachten kunnen geven en bestanden kunnen uploaden, downloaden en verwijderen. Het implantaat kwam in de vorm van firmware-images voor TP-Link-routers. Goedgeschreven C++-code kost echter veel moeite om de functies op een “firmware-agnostische” manier te implementeren, wat betekent dat het gemakkelijk kan worden aangepast om op andere routermodellen te worden uitgevoerd.
Niet het doel, alleen de middelen
Het belangrijkste doel van de malware lijkt te zijn om verkeer tussen een geïnfecteerd doelwit en de commando- en controleservers van de aanvallers te verzenden op een manier die de oorsprong en contacten verhult. Na verdere analyse ontdekte Check Point Research uiteindelijk dat de besturingsinfrastructuur werd beheerd door hackers die gelinkt waren aan Mustang Panda, een geavanceerde hardnekkige dreigingsacteur. avast En ESET De beveiligingsbedrijven zeggen in opdracht van de Chinese overheid te werken.
Onderzoekers van Check Point schreven in het tijdschrift Schrijf korter. Met andere woorden, de infectie van een thuisrouter betekent niet dat de huiseigenaar specifiek het doelwit was, maar eerder dat het slechts een middel is om een doel te bereiken.
Onderzoekers ontdekten het implantaat tijdens het onderzoeken van een reeks gerichte aanvallen op Europese entiteiten voor buitenlandse zaken. Het hoofdbestanddeel is een achterklep met de interne naam Horse Shell. De drie belangrijkste functies van immobilisatie van paarden zijn:
- Een externe shell om opdrachten uit te voeren op de geïnfecteerde machine
- Bestandsoverdracht Om bestanden van en naar het geïnfecteerde apparaat te uploaden en te downloaden
- Wissel gegevens uit tussen twee apparaten met behulp van sokken 5een protocol voor het genereren van TCP-verbindingsproxy’s naar een willekeurig IP-adres en het bieden van een manier om UDP-pakketten door te sturen.
SOCKS5-functie lijkt het ultieme doel voor transplantatie te zijn. Door een keten van geïnfecteerde machines te creëren die versleutelde verbindingen tot stand brengen met alleen de twee dichtstbijzijnde knooppunten (één in elke richting), is het moeilijk voor iedereen die er een tegenkomt om de oorsprong, de eindbestemming of het ware doel van de infectie te achterhalen. Zoals de onderzoekers van Check Point schreven:
Een implantaat kan communicatie tussen twee knooppunten overbrengen. Door dit te doen, kunnen de aanvallers een keten van knooppunten creëren die het verkeer naar de commando- en controleserver doorsturen. Door dit te doen, kunnen de aanvallers de laatste opdracht en controle verbergen, aangezien elk knooppunt in de keten alleen informatie bevat over de vorige en volgende knooppunten, elk knooppunt is een geïnfecteerde machine. Slechts een paar knooppunten zullen de identiteit kennen van de ultieme opdracht en controle.
Door meerdere lagen knooppunten te gebruiken om de verbinding te tunnelen, kunnen bedreigingsactoren de bron en bestemming van verkeer maskeren, waardoor het voor verdedigers moeilijk wordt om verkeer terug naar C2 te traceren. Dit maakt het voor verdedigers moeilijk om een aanval te detecteren en erop te reageren.
Bovendien maakt een keten van geïnfecteerde knooppunten het voor verdedigers moeilijk om de communicatie tussen de aanvaller en C2 te verstoren. Als een knooppunt in de keten wordt gecompromitteerd of verwijderd, kan de aanvaller nog steeds de communicatie met C2 onderhouden door verkeer via een ander knooppunt in de keten te leiden.
Herinner je je VPNFilter, ZuroRat en Hiatus nog?
Het gebruik van routers en zogenaamde IoT-apparaten om controleservers en geheim proxyverkeer te verhullen, behoort tot de oudste trucs in de bedreigingsindustrie. Een van de bekendste voorbeelden van andere hackcampagnes die deze pagina uit het playbook lenen, is er een die in 2018 werd ontdekt en die VPNFilter gebruikt. De malware is gemaakt door de door het Kremlin gesteunde APT28 (ook bekend als Fancy Bear) en bleek meer dan 500.000 netwerkapparaten van Linksys, Mikrotik, Netgear, TP-Link en QNAP te infecteren. VPNFilter bood een verscheidenheid aan functies, waarvan de belangrijkste werd ingeschakeld door de “socks5proxy”-module die het gecompromitteerde apparaat in een SOCKS5 VPN-proxyserver veranderde. Vergelijkbare voorbeelden zijn malware genaamd ZuoRAT, die vorig jaar werd ontdekt en een groot aantal routers van Cisco, Netgear, Asus en DrayTek infecteerde. Eerder dit jaar ontdekten onderzoekers Hiatus, een geavanceerde hackcampagne die routers met hoge bandbreedte afleidde van DrayTek SOCKS-agenten.
Check Point-onderzoekers weten nog steeds niet hoe het schadelijke implantaat op apparaten wordt geïnstalleerd. De meest waarschijnlijke gissingen zijn dat de infectie het resultaat is van aanvallers die misbruik maken van reeds gepatchte kwetsbaarheden of apparaten overnemen met zwakke of standaard beheerdersreferenties. Meer technische TP-Link-gebruikers zouden de cryptografische hash van hun huidige firmware moeten controleren om te zien of deze overeenkomt met een van de hash die is opgegeven in de Check Point-write. Check Point biedt gebruikers geen eenvoudigere manieren om de infectie op te sporen. Vertegenwoordigers van TP-Link reageerden niet op berichten waarin om commentaar voor dit bericht werd gevraagd.
Hoewel de enige tot nu toe gedetecteerde firmware-image alleen werkt op TP-Link-apparaten, is er niets dat bedreigingsactoren ervan weerhoudt om images te maken die op een veel groter aantal apparaten werken. Deze platformonafhankelijke mogelijkheid is het resultaat van implantaatarchitecten die meerdere open source-bibliotheken in hun code integreren. Bibliotheken omvatten Telnet voor de externe shell, libev voor gebeurtenisafhandeling, libbase32 voor Base32 binaire gegevenscodering en -decodering, en een lijst met containers gebaseerd op TOR slimme lijst.
Andere inspiratie kan komen van projecten, waaronder de shadowsocks-libev-server en de udptun UDP-tunnel. De gebruikte HTTP-headers zijn afkomstig uit open source-repositories.
“Geïmplanteerde componenten werden gedetecteerd in gewijzigde firmware-afbeeldingen van TP-Link”, schreven de onderzoekers. “Ze zijn echter op een firmware-agnostische manier geschreven en zijn niet specifiek voor een bepaald product of een bepaalde leverancier. Als gevolg hiervan kunnen ze door verschillende leveranciers in verschillende firmwares worden opgenomen.”
“Subtly charming TV maven. Unapologetic communicator. Troublemaker. Travel scientist. Wannabe thinker. Music fanatic. Amateur explorer.”