Malware mění domácí routery na proxy pro čínské státem podporované hackery – Ars Technica

Výzkumníci v úterý odhalili významný objev – škodlivý firmware, který by mohl uvěznit širokou škálu směrovačů pro domácnosti a malé kanceláře do sítě, která tajně přesměrovávala provoz na servery pro velení a řízení spravované čínskými státem sponzorovanými hackery.

Firmware implantát je detekován v souboru Psaní Od Check Point Research obsahuje plnohodnotná zadní vrátka, která útočníkům umožňuje navazovat spojení a přenášet soubory pomocí infikovaných zařízení, vydávat příkazy na dálku a nahrávat, stahovat a mazat soubory. Implantát přišel ve formě obrázků firmwaru pro routery TP-Link. Dobře napsaný kód v C++ však vyžaduje mnoho úsilí, aby implementoval své funkce způsobem „agnostickým na firmware“, což znamená, že by bylo snadné jej upravit tak, aby běžel na jiných modelech směrovačů.

Ne cíle, jen prostředky

Zdá se, že hlavním účelem malwaru je přenášet provoz mezi infikovaným cílem a velitelskými a řídicími servery útočníků způsobem, který zakrývá původ a kontakty. S další analýzou Check Point Research nakonec zjistil, že řídicí infrastrukturu provozovali hackeři napojení na Mustang Panda, pokročilého aktéra přetrvávajících hrozeb. avast A ESET Bezpečnostní společnosti tvrdí, že pracují jménem čínské vlády.

Výzkumníci Check Point napsali v časopise Pište kratší. Jinými slovy, infekce domácího routeru neznamená, že byl majitel domu konkrétně zaměřen, ale že je to pouze prostředek k dosažení cíle.

Výzkumníci implantát objevili při vyšetřování série cílených útoků proti evropským zahraničním subjektům. Hlavním komponentem jsou zadní dveře s interním názvem Horse Shell. Tři hlavní funkce imobilizace koně jsou:

• Vzdálený shell pro provádění příkazů na infikovaném počítači
• Přenos souborů K odesílání a stahování souborů do az infikovaného zařízení
• Výměna dat mezi dvěma zařízeními pomocí ponožky 5což je protokol pro generování proxy připojení TCP na libovolnou IP adresu a poskytující prostředky pro předávání UDP paketů.

Funkce SOCKS5 se zdá být konečným cílem transplantace. Vytvořením řetězce infikovaných počítačů, které navazují šifrovaná spojení pouze se dvěma nejbližšími uzly (jedním v každém směru), je pro každého, kdo na nějaký narazí, obtížné poznat původ, konečné místo určení nebo skutečný účel infekce. Jak napsali výzkumníci Check Point:

Implantát může přenášet komunikaci mezi dvěma uzly. Tímto způsobem mohou útočníci vytvořit řetězec uzlů, které budou přenášet provoz na příkazový a řídicí server. Tímto způsobem mohou útočníci skrýt konečný příkaz a kontrolu, protože každý uzel v řetězci obsahuje informace pouze o předchozím a následujícím uzlu, každý uzel je infikovaným počítačem. Pouze několik uzlů bude znát identitu nejvyššího velení a řízení.

Použitím více vrstev uzlů k tunelování spojení mohou aktéři hrozeb maskovat zdroj a cíl provozu, což obráncům ztěžuje sledování provozu zpět do C2. To ztěžuje obráncům detekovat a reagovat na útok.

Řetězec infikovaných uzlů navíc brání obráncům narušit komunikaci mezi útočníkem a C2. Pokud je jeden uzel v řetězci ohrožen nebo odstraněn, útočník může stále udržovat komunikaci s C2 směrováním provozu přes jiný uzel v řetězci.

Pamatujete si VPNFilter, ZuroRat a Hiatus?

Používání směrovačů a takzvaných IoT zařízení k maskování řídicích serverů a tajného proxy provozu patří mezi nejstarší triky v odvětví hrozeb. Mezi nejznámější příklady dalších hackerských kampaní, které si vypůjčily tuto stránku z příručky, je ta, která byla objevena v roce 2018 a používá VPNFilter. Malware byl vytvořen Kremlem podporovaný APT28 (aka Fancy Bear) a bylo zjištěno, že infikuje více než 500 000 síťových zařízení vyrobených Linksys, Mikrotik, Netgear, TP-Link a QNAP. VPNFilter nabízel celou řadu funkcí, z nichž hlavní umožnil modul „socks5proxy“, který z napadeného zařízení udělal SOCKS5 VPN proxy server. Mezi podobné příklady patří malware s názvem ZuoRAT, který byl loni objeven a infikoval velké množství směrovačů vyrobených společnostmi Cisco, Netgear, Asus a DrayTek. Začátkem tohoto roku výzkumníci objevili Hiatus, sofistikovanou hackerskou kampaň, která odklonila vysokorychlostní routery od agentů DrayTek SOCKS.

Výzkumníci Check Point stále nevědí, jak se škodlivý implantát nainstaluje do zařízení. Nejpravděpodobnější odhady jsou, že infekce je výsledkem toho, že útočníci buď zneužívají již opravené zranitelnosti, nebo přebírají zařízení se slabými nebo výchozími pověřeními pro správu. Techničtější uživatelé TP-Link by měli zkontrolovat kryptografický hash svého aktuálního firmwaru, aby zjistili, zda odpovídá některému z těch, které jsou uvedeny v zápisu Check Point. Check Point neposkytuje uživatelům jednodušší způsoby, jak infekci detekovat. Zástupci společnosti TP-Link nereagovali na zprávy s žádostí o komentář k tomuto příspěvku.

Ačkoli jediný dosud detekovaný obraz firmwaru funguje pouze na zařízeních TP-Link, nic nebrání aktérům hrozeb vytvářet obrazy, které fungují na mnohem širším spektru zařízení. Tato schopnost napříč platformami je výsledkem toho, že architekti implantátů integrují do svého kódu více knihoven s otevřeným zdrojovým kódem. Knihovny zahrnují Telnet pro vzdálený shell, libev pro zpracování událostí, libbase32 pro kódování a dekódování binárních dat Base32 a seznam kontejnerů založený na Chytrý seznam TOR.

Další inspirací mohou být projekty, včetně serveru shadowsocks-libev a tunelu udptun UDP. Použité HTTP hlavičky byly převzaty z open source úložišť.

„Implantované komponenty byly detekovány v upravených obrázcích firmwaru od TP-Link,“ napsali vědci. „Nicméně byly napsány způsobem agnostickým firmwarem a nejsou specifické pro žádný konkrétní produkt nebo dodavatele. V důsledku toho mohou být zahrnuty do různých firmwarů různých výrobců.“