هکرهای دولتی چین روترهای TP-Link را با سیستم عامل مخرب و سفارشی آلوده می کنند

چک پوینت توضیح می دهد که گروه کامارو دراگون سازمان ها و افراد مرتبط با امور خارجی اروپا را با “همپوشانی قابل توجه زیرساخت ها” با گروه پاندا موستانگ هدف قرار داده است. در طول تحقیقات خود، محققان یک ایمپلنت سفت‌افزار مخرب را کشف کردند که برای کار بر روی روترهای تولید شده توسط TP-Link طراحی شده بود، با چندین جزء از جمله یک درب پشتی سفارشی به نام “Horse Shell”.

محققان Check Point یک تهدید دائمی پیشرفته دیگر (APT) را کشف کردند که توسط یک گروه تحت حمایت چین به نام “Camaro Dragon” اداره می شود. این حمله که عمدتاً با فعالیت‌های مخربی که قبلاً به خدمه «Mustang Panda» نسبت داده شده بود همپوشانی دارد، برای پوشش دادن مسیرهای خود در پشت روترهای TP-Link که توسط یک مؤلفه بدافزار پیچیده آلوده شده‌اند طراحی شده است.

تحقیقات Check Point می‌گوید کشف ایمپلنت Camaro Dragon برای روترهای TP-Link اهمیت اتخاذ تدابیر محافظتی در برابر حملات مشابه را برجسته می‌کند. این شرکت امنیتی توصیه هایی برای شناسایی و محافظت در برابر نصب های سیستم عامل مخرب دارد، از جمله نصب منظم به روز رسانی نرم افزار برای روترهای خانگی/SOHO، تغییر اعتبار پیش فرض هر دستگاه متصل به اینترنت، و استفاده از رمزهای عبور قوی تر و احراز هویت چند عاملی در صورت امکان.



منبع

چه اتفاقی افتاده؟ یک گروه تحت حمایت چین، یک حمله سایبری جدید و پیچیده علیه اهداف معقول اروپایی را رهبری می‌کند و هکرها با سوء استفاده از روترهای آلوده متعلق به کاربران خانگی غافل، به طور موثری مسیرهای آنها را پوشش می‌دهند. روترها بیشتر توسط TP-Link تولید می شوند، اما تهدید ممکن است به جاهای دیگر سرایت کند.

بخونید:  PCI-SIG می گوید که مقصر ذوب شدن کابل های 12VHPWR نیست

محققان حتی نمی‌دانند مهاجمان چگونه توانستند روترها را با سیستم‌افزار مخرب آلوده کنند، اگرچه آنها احتمالاً کل اینترنت را برای آسیب‌پذیری‌های شناخته شده یا اعتبارنامه‌های ضعیف/پیش‌فرض ورود به سیستم اسکن کرده‌اند. علاوه بر این، با وجود طراحی شده برای حمله به روترهای TP-Link، اجزاء ماهیت “آگنوستیک” دارند و به خوبی می توانند برای حمله به طیف وسیع تری از دستگاه ها و سازندگان تغییر کاربری دهند.

درب پشتی چندین عملکرد اصلی دارد، از جمله پوسته راه دور برای اجرای دستورات روی دستگاه آلوده، انتقال فایل برای آپلود و دانلود و تبادل داده بین دو دستگاه آلوده از طریق پروتکل SOCKS5. SOCKS5 می تواند به عنوان یک اتصال TCP پروکسی به یک آدرس IP دلخواه، برای ارسال بسته UDP، و در نهایت برای ایجاد زنجیره ای از دستگاه های آلوده برای پنهان کردن مبدا و مقصد یک اتصال رمزگذاری شده استفاده شود.

به لطف این سیستم عامل مخرب، هکرهای Camaro Dragon می توانند به طور موثر مرکز فرماندهی و کنترل واقعی خود را با استفاده از دستگاه های خانگی آلوده به عنوان وسیله ای برای رسیدن به هدف پنهان کنند. چک پوینت می‌گوید در حالی که هورس شل در زیرساخت مهاجم پیدا شده است، قربانیان واقعی کاشت روتر هنوز ناشناخته هستند.