Китайские хакеры Mustang Panda создали собственную прошивку для компрометации роутеров TP-Link

Китайская APT-группа Mustang Panda с января 2023 года проводит серию изощренных и целенаправленных атак на европейские внешнеполитические ведомства.

Анализ Check Point выявил поддельную прошивку, разработанную специально для маршрутизаторов TP-Link. Имплантат содержит несколько вредоносных компонентов, в том числе специальный бэкдор под названием «Horse Shell», который позволяет хакерам поддерживать постоянный доступ, создавать анонимную инфраструктуру и обеспечивать возможность бокового перемещения по скомпрометированным сетям.

Благодаря тому, что компоненты имплантата не зависят от прошивки, они могут быть интегрированы в различные прошивки от разных поставщиков.

Точный метод, используемый для развертывания поддельных образов прошивки на зараженных маршрутизаторах, в настоящее время неизвестен, как и его использование в реальных атаках. Есть подозрение, что первоначальный доступ мог быть получен путем использования известных уязвимостей или брутфорса.

Известно только то, что имплантат Horse Shell на основе C++ предоставляет злоумышленникам возможность выполнять произвольные команды оболочки, загружать и скачивать файлы на маршрутизатор и с него, а также ретранслировать связь между двумя разными клиентами. Измененная прошивка также скрывает от пользователя возможность прошить другой образ через веб-интерфейс роутера.

Интересный момент заключается в том, что бэкдор маршрутизатора нацелен на произвольные устройства в жилых и домашних сетях. Эксперты предполагают, что скомпрометированные маршрутизаторы объединяются в mesh-сеть с целью создания цепочки узлов между основными зараженными и реальными С2-серверами.

При ретрансляции связи между зараженными маршрутизаторами с помощью туннеля SOCKS идея состоит в том, чтобы ввести дополнительный уровень анонимности и скрыть конечный сервер, поскольку каждый узел в цепочке содержит информацию только о узлах, предшествующих ему и следующих за ним.

Другими словами, такие методы скрывают источник и место назначения трафика аналогично TOR, что значительно усложняет определение масштабов атаки и ее пресечение. Если один узел в цепочке скомпрометирован или отключен, злоумышленник все еще может поддерживать связь с C2-сервером, направляя трафик через другой узел в цепочке.

Тем не менее, это не первый случай, когда связанные с Китаем злоумышленники полагаются на сеть скомпрометированных маршрутизаторов для достижения своих стратегических целей.

В 2021 году Национальное агентство кибербезопасности Франции (ANSSI) подробно описало атаки группировки APT31, в которых хакеры использовали взломанные домашние маршрутизаторы для формирования прокси-сети с целью скрыть настоящий источник атак.

Специалисты компании ESET недавно заявили, что отработавшие свой срок корпоративные маршрутизаторы часто не сбрасываются до заводских настроек перед утилизацией или перепродажей и хранят в себе много конфиденциальной информации , которой могут воспользоваться хакеры.

Конфиденциальная, но легкодоступная корпоративная информация, обнаруженная на этих маршрутизаторах, включала учётные данные IPSec и VPN, учётные данные для подключения к другим сетям, хешированные пароли, ключи аутентификации, информацию обо всех когда-либо подключенных к маршрутизатору клиентах, данные для доступа к облачным приложениям, правила брандмауэра и прочую информацию, позволяющую третьим лицам беспрепятственно подключиться к корпоративной сети компании-жертвы.