Дослідники Check Point виявили нову постійну серйозну загрозу (advanced persistent threat, APT), якою управляє підтримувана китайським урядом група Camaro Dragon. Атака розроблена так, щоб приховувати сліди за інфікованими роутерами TP-Link.
Група Camaro Dragon націлилася на організації та окремих осіб, які мають відношення до міжнародних справ Європи. При цьому спостерігається «значний перетин інфраструктури» з групою Mustang Panda. У ході розслідування дослідники виявили шкідливий мікропрограмний імплантат, призначений для роботи на роутерах виробництва TP-Link, з кількома компонентами, включаючи спеціальний бекдор під назвою Horse Shell.
Бекдор забезпечує кілька основних функцій, у тому числі віддалений доступ для виконання команд на зараженому пристрої, передачу файлів для завантаження та вивантаження, обмін даними між двома зараженими пристроями за протоколом SOCKS5. SOCKS5 можна використовувати як проксі TCP-з’єднання з довільною IP-адресою, для пересилання пакетів UDP і, зрештою, для створення ланцюжка заражених пристроїв для маскування джерела та пункту призначення зашифрованого з’єднання. Завдяки цій шкідливій прошивці хакери Camaro Dragon можуть ефективно маскувати свій реальний центр управління та контролю, розглядаючи заражені домашні пристрої як засіб для досягнення мети.
Дослідники не знають, як зловмисникам вдалося заразити маршрутизатори шкідливою прошивкою. Попри те, що виявлені компоненти призначені для атаки на роутери TP-Link, вони мають «незалежний» характер і можуть бути перепризначені для атак на ширший спектр пристроїв і виробників.
Джерело: techspot