Grupa hakerska sponsorowana przez Chiny prowadzi nowy, wyrafinowany cyberatak na wrażliwe europejskie cele, a cyberprzestępcy skutecznie zacierają swoje ślady, wykorzystując zainfekowane routery należące do nieświadomych użytkowników domowych. Routery są w większości produkowane przez TP-Link, ale zagrożenie może rozprzestrzenić się także na inne marki.
Camaro Dragon w natarciu
Badacze z Check Point odkryli kolejne zagrożenie typu APT (advanced persistent threat), które jest obsługiwane przez sponsorowaną przez Chiny grupę określaną jako „Camaro Dragon”. Atak, który w większości pokrywa się ze złośliwymi działaniami przypisywanymi wcześniej grupie „Mustang Panda”, ma na celu zatarcie śladów za pomocą routerów TP-Linka zainfekowanych złośliwym oprogramowaniem.
Jak wyjaśnia Check Point, grupa Camaro Dragon atakowała organizacje i osoby związane z europejskimi sprawami zagranicznymi, a jej struktura „znacząco pokrywa się z infrastrukturą” grupy Mustang Panda. Podczas dochodzenia badacze odkryli złośliwy implant firmware'u przeznaczony do pracy na routerach wyprodukowanych przez TP-Link, zawierający kilka komponentów, w tym niestandardowy backdoor o nazwie „Horse Shell”.
Grupa hakerska sponsorowana przez Chiny prowadzi nowy, wyrafinowany cyberatak, wykorzystując zainfekowane routery TP-Linka.
Backdoor w routerach TP-Link
Backdoor ma kilka funkcji, w tym zdalną powłokę do wykonywania poleceń na zainfekowanym urządzeniu, przesyłanie i pobieranie plików oraz wymianę danych między dwoma zainfekowanymi urządzeniami za pośrednictwem protokołu SOCKS5. SOCKS5 może być używany jako połączenie proxy TCP z dowolnym adresem IP, do przekazywania pakietów UDP, a ostatecznie do tworzenia łańcucha zainfekowanych urządzeń w celu zamaskowania źródła i miejsca docelowego zaszyfrowanego połączenia.
Dzięki temu złośliwemu oprogramowaniu hakerzy z Camaro Dragon mogą skutecznie maskować swoje prawdziwe centrum dowodzenia, wykorzystując w tym celu zainfekowane routery domowe. Check Point twierdzi, że podczas gdy Horse Shell został znaleziony w atakującej infrastrukturze, prawdziwe ofiary złośliwego implantu są nadal nieznane.
Badacze nie wiedzą nawet, w jaki sposób atakującym udało się zainfekować routery złośliwym oprogramowaniem, chociaż prawdopodobnie przeskanowali cały Internet w poszukiwaniu znanych luk lub słabych/domyślnych danych logowania. Co więcej, pomimo tego, że zostały zaprojektowane do atakowania routerów TP-Link, komponenty mają charakter „agnostyczny” i równie dobrze mogą zostać użyte do atakowania szerszej gamy urządzeń innych producentów.
Trzeba działać
Check Point Research twierdzi, że odkrycie implantu Camaro Dragon w routerach TP-Link podkreśla znaczenie podjęcia środków ochronnych przed podobnymi atakami. Firma zajmująca się bezpieczeństwem ma pewne zalecenia dotyczące wykrywania i ochrony przed instalacją złośliwego firmware'u, w tym regularnego instalowania aktualizacji oprogramowania dla routerów domowych/SOHO, zmiany domyślnych danych uwierzytelniających dowolnego urządzenia podłączonego do Internetu oraz używania silniejszych haseł i uwierzytelniania wieloskładnikowego, gdy tylko jest to możliwe.
Oświadczenie TP-Link Polska w sprawie ataków hackerskich Camaro Dragon
W związku z pojawiającymi się w mediach informacjami o atakach hackerskich przygotowanych przez grupę Camaro Dragon przygotowaliśmy rekomendacje dla użytkowników, jak zabezpieczyć naszą domową sieć przed tego typu atakami.
Artykuły te oparte są na publikacji badaczy z Check Point Research, którzy odkryli łudząco przypominające oryginalny firmware TP-Link oprogramowanie, w którym zaimplementowano zdalną powłokę do wykonywania poleceń na zainfekowanym urządzeniu, przesyłania i pobierania plików oraz wymiany danych między dwoma zainfekowanymi urządzeniami za pośrednictwem protokołu SOCKS5. SOCKS5 może być używany jako połączenie proxy TCP z dowolnym adresem IP, do przekazywania pakietów UDP, a ostatecznie do tworzenia łańcucha zainfekowanych urządzeń w celu zamaskowania źródła i miejsca docelowego zaszyfrowanego połączenia.
Warto podkreślić, że w publikacji Check Point Research nie ma jakiejkolwiek informacji o złamaniu zabezpieczeń bądź wykryciu luki w zabezpieczeniach w oryginalnym oprogramowaniu TP-Link. Badacze jako najbardziej prawdopodobne źródło infekcji podmienionym oprogramowaniem podają znane podatności (dla których wydano już łatki bezpieczeństwa) oraz słabe hasło do panelu administracyjnego w routerach, w których został skonfigurowany zdalny dostęp od strony WAN.
Jak zabezpieczyć się przed atakiem hackerskim?
Większość użytkowników nie ma potrzeby zdalnego dostępu przez Internet do panelu administracyjnego routera, dlatego też domyślnie ta funkcja jest wyłączona w oprogramowaniu we wszystkich routerach TP-Link.
Jeżeli jednak mamy potrzebę zdalnego dostępu do urządzenia, a nasz router wspiera funkcję serwera OpenVPN, zamiast funkcji zdalnego dostępu i wystawiania panelu zarządzania na zewnątrz, zalecamy konfigurację VPNu do połączenia się z routerem i zarządzanie nim po jego adresie lokalnym.
W przypadku routerów, które nie obsługują VPN, aby zminimalizować ryzyko należy stosować odpowiednio długie (kilkunastoznakowe) hasło do panelu administracyjnego wykorzystujące duże i małe litery cyfry oraz znaki specjalne. Jeżeli logujemy się do niego z zewnątrz z konkretnego, niezmiennego adresu IP warto również ograniczyć zdalny dostęp do routera do tego konkretnego adresu IP.
Ponadto zalecamy, by sprawdzić czy korzystamy z najbardziej aktualnej wersji oprogramowania do naszego routera pochodzącego ze strony TP-Link.
Wszystkich użytkowników, którzy potrzebują pomocy przy aktualizacji firmware bądź zmiany ustawień routera zachęcamy do kontaktu z działem wsparcia technicznego TP-Link pod numerem telefonu 22 360 63 63. Infolinia wsparcia działa od poniedziałku do piątku w godzinach 9:00-19:00.
Pokaż / Dodaj komentarze do: Hakerzy wspierani przez Chiny infekują routery TP-Link złośliwym oprogramowaniem