چک پوینت توضیح می دهد که گروه کامارو دراگون سازمان ها و افراد مرتبط با امور خارجی اروپا را با “همپوشانی قابل توجه زیرساخت ها” با گروه پاندا موستانگ هدف قرار داده است. در طول تحقیقات خود، محققان یک ایمپلنت سفتافزار مخرب را کشف کردند که برای کار بر روی روترهای تولید شده توسط TP-Link طراحی شده بود، با چندین جزء از جمله یک درب پشتی سفارشی به نام “Horse Shell”.
محققان Check Point یک تهدید دائمی پیشرفته دیگر (APT) را کشف کردند که توسط یک گروه تحت حمایت چین به نام “Camaro Dragon” اداره می شود. این حمله که عمدتاً با فعالیتهای مخربی که قبلاً به خدمه «Mustang Panda» نسبت داده شده بود همپوشانی دارد، برای پوشش دادن مسیرهای خود در پشت روترهای TP-Link که توسط یک مؤلفه بدافزار پیچیده آلوده شدهاند طراحی شده است.
تحقیقات Check Point میگوید کشف ایمپلنت Camaro Dragon برای روترهای TP-Link اهمیت اتخاذ تدابیر محافظتی در برابر حملات مشابه را برجسته میکند. این شرکت امنیتی توصیه هایی برای شناسایی و محافظت در برابر نصب های سیستم عامل مخرب دارد، از جمله نصب منظم به روز رسانی نرم افزار برای روترهای خانگی/SOHO، تغییر اعتبار پیش فرض هر دستگاه متصل به اینترنت، و استفاده از رمزهای عبور قوی تر و احراز هویت چند عاملی در صورت امکان.
چه اتفاقی افتاده؟ یک گروه تحت حمایت چین، یک حمله سایبری جدید و پیچیده علیه اهداف معقول اروپایی را رهبری میکند و هکرها با سوء استفاده از روترهای آلوده متعلق به کاربران خانگی غافل، به طور موثری مسیرهای آنها را پوشش میدهند. روترها بیشتر توسط TP-Link تولید می شوند، اما تهدید ممکن است به جاهای دیگر سرایت کند.
محققان حتی نمیدانند مهاجمان چگونه توانستند روترها را با سیستمافزار مخرب آلوده کنند، اگرچه آنها احتمالاً کل اینترنت را برای آسیبپذیریهای شناخته شده یا اعتبارنامههای ضعیف/پیشفرض ورود به سیستم اسکن کردهاند. علاوه بر این، با وجود طراحی شده برای حمله به روترهای TP-Link، اجزاء ماهیت “آگنوستیک” دارند و به خوبی می توانند برای حمله به طیف وسیع تری از دستگاه ها و سازندگان تغییر کاربری دهند.
درب پشتی چندین عملکرد اصلی دارد، از جمله پوسته راه دور برای اجرای دستورات روی دستگاه آلوده، انتقال فایل برای آپلود و دانلود و تبادل داده بین دو دستگاه آلوده از طریق پروتکل SOCKS5. SOCKS5 می تواند به عنوان یک اتصال TCP پروکسی به یک آدرس IP دلخواه، برای ارسال بسته UDP، و در نهایت برای ایجاد زنجیره ای از دستگاه های آلوده برای پنهان کردن مبدا و مقصد یک اتصال رمزگذاری شده استفاده شود.
به لطف این سیستم عامل مخرب، هکرهای Camaro Dragon می توانند به طور موثر مرکز فرماندهی و کنترل واقعی خود را با استفاده از دستگاه های خانگی آلوده به عنوان وسیله ای برای رسیدن به هدف پنهان کنند. چک پوینت میگوید در حالی که هورس شل در زیرساخت مهاجم پیدا شده است، قربانیان واقعی کاشت روتر هنوز ناشناخته هستند.