Kineski nacionalni haker poznat kao Mustang Panda povezan je s novim nizom sofistikovanih i ciljanih napada usmjerenih na evropske subjekte za vanjske poslove od januara 2023. godine.
Analiza ovih upada, prema istraživačima Check Point-a Itay Cohen i Radoslaw Madej, otkrila je prilagođeni implantat firmware-a koji je eksplicitno dizajniran za TP-Link rutere.
“Implant sadrži nekoliko malicioznih komponenti, uključujući prilagođeni backdoor nazivom ‘Horse Shell’ koji omogućava napadačima da održe uporan pristup, izgrade anonimnu infrastrukturu i omoguće lateralno kretanje u ugroženim mrežama” saopštila je kompanija.
„Zbog dizajna koji ne zavisi od firmware-a, komponente implantata mogu se integrisati u različite firmware od strane različitih dobavljača.”
Izraelska kompanija za kibernetičku bezbjednost prati grupu hakera pod imenom mitskog stvorenja Camaro Dragon, koja je takođe poznata kao BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta i Red Lich.
Tačan metod koji se koristi za postavljanje neovlaštenih slika firmware-a na zaražene rutere trenutno je nepoznat, kao i njegova upotreba i učešće u stvarnim napadima. Sumnja se da je inicijalni pristup možda stečen iskorištavanjem poznatih sigurnosnih propusta ili brutalnih uređaja sa zadanim ili lako pogodnim lozinkama.
Ono što je poznato je da Horse Shell implant baziran na C++ pruža napadačima mogućnost da izvrše proizvoljne shell naredbe, uploaduju i preuzimaju datoteke na i sa rutera i prenose komunikaciju između dva različita klijenta. Izmijenjeni firmware takođe skriva od korisnika mogućnost flešovanja druge slike preko web interfejsa rutera.
Ali u zanimljivom zaokretu, vjeruje se da backdoor rutera cilja proizvoljne uređaje na stambenim i kućnim mrežama, što sugeriše da se kompromitovani ruteri elektuju u mesh mrežu s ciljem stvaranja “lanca čvorova između glavnih infekcija i stvarnih komandi i kontrola.”
U prenošenju komunikacije između zaraženih rutera korištenjem SOCKS tunela, ideja je da se uvede dodatni sloj anonimnosti i sakrije konačni server, jer svaki čvor u lancu sadrži informacije samo o čvorovima koji mu prethode i slijede.
Drugim riječima, metode prikrivaju porijeklo i odredište saobraćaja na način analogan TOR-u, što čini mnogo izazovnijim otkriti obim napada i poremetiti ga.
“Ako je jedan čvor u lancu ugrožen ili uklonjen, napadač i dalje može održavati komunikaciju sa C2 usmjeravanjem prometa kroz drugi čvor u lancu” objasnili su istraživači.
Međutim, ovo nije prvi put da se hakeri povezani s Kinom oslanjaju na mrežu kompromitovanih rutera kako bi ispunili svoje strateške ciljeve.
Tokom 2021. godine, Nacionalna agencija za kibernetičku bezbjednost Francuske (ANSSI) je detaljno opisala skup upada koji je orkestrovao APT31, aka Judgement Panda ili Violet Typhoon, koji je koristio komad naprednog malicioznog softvera poznatog kao Pakdoor ili SoWat kako bi omogućio zaraženim ruterima da komuniciraju međusobno.
“Otkriće je još jedan primjer trenda kineskih hakera da iskorištavaju mrežne uređaje okrenute internetu i modifikuju njihov osnovni softver ili firmware” rekli su istraživači.
Izvor: The Hacker News