Hacker infizieren TP-Link-Router-Firmware, um EU-Organisationen anzugreifen
Attacken auf normale Wohn- und Heimnetzwerke
Die Check Point-Studie stellt klar, dass diese Art von Angriff nicht speziell auf sensible Netzwerke abzielt, sondern auf normale Wohn- und Heimnetzwerke. Eine infizierte Heimrouter bedeute also nicht zwangsläufig, dass der Besitzer ein bestimmtes Ziel sei, sondern vielmehr ein Mittel zum Zweck für die Angreifer.
Die eingesetzte Malware gibt den Bedrohungsakteuren vollen Zugriff auf das Gerät, einschließlich des Ausführens von Shell-Befehlen, dem Hoch- und Herunterladen von Dateien und der Verwendung als SOCKS-Proxy zum Relaisverkehr zwischen Geräten.
Die Horse-Shell-TP-Link-Firmware wurde von Check Point Research im Januar 2023 entdeckt. Die Aktivitäten der Hackergruppe überschneiden sich mit der chinesischen Hacking-Gruppe "Mustang Panda", die kürzlich in Avast- und ESET-Berichten beschrieben wurde. Check Point bezeichnet die Aktivitäten jedoch separat unter dem Namen "Camaro Dragon", obwohl es Ähnlichkeiten und signifikante Überschneidungen mit Mustang Panda gibt.
Infizierung durch Ausnutzung von Schwachstellen oder Brute-Force-Angriffe
Obwohl Check Point nicht herausgefunden hat, wie die Hacker TP-Link-Router mit der bösartigen Firmware-Image infizieren, könnte dies durch Ausnutzen einer Schwachstelle oder Brute-Force-Attacken auf die Administrator-Anmeldeinformationen geschehen. Sobald ein Bedrohungsakteur Zugriff auf die Management-Schnittstelle erlangt hat, kann er das Gerät ferngesteuert mit der benutzerdefinierten Firmware-Image aktualisieren.
Die Horse-Shell-Backdoor-Malware
Wenn das Horse-Shell-Backdoor-Implantat initialisiert wird, wird die OS angewiesen, den Prozess nicht zu beenden, wenn die Befehle SIGPIPE, SIGINT oder SIGABRT ausgegeben werden, und in einen Daemon konvertiert zu werden, der im Hintergrund läuft. Die Backdoor wird dann mit dem Command-and-Control(C2)-Server verbinden, um das Maschinenprofil des Opfers zu senden, einschließlich Benutzername, OS-Version, Zeit, Geräteinformationen, IP-Adresse, MAC-Adresse und unterstützten Implantatfunktionen.
Das Horse-Shell-Backdoor wird nun im Hintergrund laufen und auf einen der folgenden drei Befehle warten:
- Starten einer Remote-Shell, die den Bedrohungsakteuren vollen Zugriff auf das kompromittierte Gerät bietet.
- Durchführung von Dateiübertragungsaktivitäten, einschließlich Hoch- und Herunterladen, grundlegende Dateimanipulation und Verzeichnisenumeration.
- Starten von Tunneling, um den Ursprung und das Ziel des Netzwerkverkehrs zu verschleiern und die C2-Serveradresse zu verbergen.
Unterstützung von Tunneling-Sub-Befehlen
Die Forscher sagen, dass das Horse-Shell-Firmware-Implantat firmware-agnostisch ist und theoretisch in Firmware-Images für andere Router von verschiedenen Herstellern funktionieren könnte.
Nutzer sollten das neueste Firmware-Update für ihr Routermodell installieren, um vorhandene Schwachstellen zu beheben, das Standard-Admin-Passwort auf etwas Starkes zu ändern und den Remote-Zugriff auf das Admin-Panel des Geräts zu deaktivieren und es nur vom lokalen Netzwerk aus erreichbar zu machen.
Schlussfolgerung
Es ist nicht überraschend, dass staatlich unterstützte Hacker schlecht gesicherte Router ins Visier nehmen, die oft von Botnets für DDoS-Angriffe oder Krypto-Mining-Operationen angegriffen werden. Router werden oft bei der Implementierung von Sicherheitsmaßnahmen übersehen und können als schlecht erkennbare Startplattform für Angriffe dienen, die den Ursprung des Angreifers verschleiern.