Η Check Point Research (CPR) παρακολουθεί μια σειρά στοχευμένων κυβερνοεπιθέσεων σε Ευρωπαϊκές οντότητες εξωτερικών υποθέσεων, οι οποίες έχουν συνδεθεί με την χρηματοδοτούμενη από το κράτος Κινεζική ομάδα Advanced Persistent Threat (APT), την οποία η CPR έχει ονομάσει “Camaro Dragon”.
Σε πρόσφατο άρθρο στο blog της, η Check Point Research μοιράστηκε την ολοκληρωμένη ανάλυση των επιθέσεων της Camaro Dragon, αποκαλύπτοντας ένα κακόβουλο εμφύτευμα υλικολογισμικού (firmware) προσαρμοσμένο για τους δημοφιλείς TP-Link routers. To προσαρμοσμένο backdoor με το όνομα “Horse Shell” παρέχει στους επιτιθέμενους πλήρη έλεγχο των μολυσμένων συσκευών και επιτρέπει στον παράγοντα απειλής να ανωνυμοποιεί τις δραστηριότητές του και να έχει πρόσβαση στα παραβιασμένα δίκτυα.
Highlights :
- Η Check Point Research ανακάλυψε και ανέλυσε μια προσαρμοσμένη εικόνα firmware TP-Link που συνδέεται με τους κρατικά χορηγούμενους από την Κίνα δράστες με το όνομα “Camaro Dragon”.
- Η εικόνα υλικολογισμικού περιείχε διάφορα κακόβουλα στοιχεία, συμπεριλαμβανομένου ενός προσαρμοσμένου εμφυτεύματος MIPS32 ELF που ονομάστηκε “Horse Shell”. Εκτός από το εμφύτευμα, βρέθηκε επίσης μια παθητική κερκόπορτα που παρέχει στους επιτιθέμενους ένα κέλυφος σε μολυσμένες συσκευές.
- Το “Horse Shell”, το κύριο εμφύτευμα που εισάγεται στο τροποποιημένο firmware από τους επιτιθέμενους, παρέχει στον εισβολέα 3 κύριες λειτουργίες:
- Μεταφορά αρχείων
- SOCKS tunneling
- Remote shell
- Η μέθοδος ανάπτυξης των εικόνων υλικολογισμικού είναι ακόμα ασαφής, καθώς και η χρήση και η συμμετοχή της σε πραγματικές εισβολές.
Όχι μόνο TP-Link
Η ανακάλυψη της φύσης των εμφυτευμένων εξαρτημάτων ανεξάρτητα από το firmware δείχνει ότι ένα ευρύ φάσμα συσκευών και πωλητών μπορεί να βρίσκεται σε κίνδυνο. Η Check Point Research έχει τονίσει τη σημασία της ενημέρωσης και της ασφάλειας των συσκευών δικτύου από πιθανές απειλές.
Προστασία
Μέσω της συνεχιζόμενης έρευνάς, η Check Point Research στοχεύει στην καλύτερη κατανόηση των τεχνικών και των τακτικών που χρησιμοποιούνται από την ομάδα Camaro Dragon APT και συμβάλλει στη βελτίωση της στάσης ασφαλείας τόσο των οργανισμών όσο και των ατόμων.
Για την προστασία από παρόμοιες επιθέσεις, η Check Point Research συνιστά προστασία δικτύου, όπως παρακολούθηση της κυκλοφορίας με μοναδικές κεφαλίδες με σκληρό κώδικα, τακτική ενημέρωση υλικολογισμικού και λογισμικού συσκευής και αλλαγή προεπιλεγμένων διαπιστευτηρίων σύνδεσης σε συσκευές συνδεδεμένες στο διαδίκτυο.
Σχόλιο: Itay Cohen, επικεφαλής έρευνας στην Check Point Research:
“Το εμφύτευμα router “Horse Shell” είναι ένα περίπλοκο στοιχείο κακόβουλου υλικολογισμικού που παρουσιάζει τις προηγμένες δυνατότητες των κινεζικών επιτιθέμενων που χρηματοδοτούνται από το κράτος. Μέσω της ανάλυσης αυτού του εμφυτεύματος, μπορούμε να αποκτήσουμε πολύτιμες γνώσεις σχετικά με τις τακτικές και τις τεχνικές που χρησιμοποιούνται από αυτούς τους επιτιθέμενους, οι οποίες μπορούν τελικά να συμβάλουν στην καλύτερη κατανόηση και άμυνα έναντι παρόμοιων απειλών στο μέλλον.
Η φύση των εμφυτευμένων εξαρτημάτων ανεξαρτήτως firmware υποδηλώνει ότι ένα ευρύ φάσμα συσκευών και πωλητών θα μπορούσε ενδεχομένως να κινδυνεύει. Είναι ζωτικής σημασίας για τους οργανισμούς και τα άτομα να επαγρυπνούν ενημερώνοντας τακτικά τις συσκευές δικτύου τους και εφαρμόζοντας ισχυρά μέτρα ασφαλείας για την καταπολέμηση τέτοιων προηγμένων απειλών».