Исследователи Check Point обнаружили новую постоянную серьезную угрозу (advanced persistent threat, APT), которой управляет поддерживаемая китайским правительством группа Camaro Dragon. Атака разработана таким образом, чтобы скрывать следы за инфицированными роутерами TP-Link.
Группа Camaro Dragon нацелилась на организации и отдельных лиц, имеющих отношение к международным делам Европы. При этом наблюдается «значительное пересечение инфраструктуры» с группой Mustang Panda. В ходе расследования исследователи обнаружили вредоносный микропрограммный имплантат, предназначенный для работы на роутерах производства TP-Link, с несколькими компонентами, включая специальный бэкдор под названием Horse Shell.
Бэкдор обеспечивает несколько основных функций, в том числе удаленную оболочку для выполнения команд на зараженном устройстве, передачу файлов для загрузки и скачивания, обмен данными между двумя зараженными устройствами по протоколу SOCKS5. SOCKS5 можно использовать в качестве прокси TCP-соединения с произвольным IP-адресом, для пересылки пакетов UDP и, в конечном итоге, для создания цепочки зараженных устройств для маскировки источника и пункта назначения зашифрованного соединения. Благодаря этой вредоносной прошивке хакеры Camaro Dragon могут эффективно маскировать свой реальный центр управления и контроля, рассматривая зараженные домашние устройства как средство для достижения цели.
Исследователи не знают, как злоумышленникам удалось заразить маршрутизаторы вредоносной прошивкой. Несмотря на то, что выявленные компоненты предназначены для атаки на роутеры TP-Link, они имеют «независимый» характер и вполне могут быть переназначены для атак на более широкий спектр устройств и производителей.
Источник: techspot