Son zamanlarda, Checkpoint’teki siber güvenlik uzmanları, Çin devlet destekli grup “Camaro Dragon”un, saldırıları için konut ağlarından yararlanarak Avrupa dışişleri kuruluşlarını hedef almak için TP-Link yönlendiricilerinin sabit yazılımına gömülü özel bir “Horse Shell” kötü amaçlı yazılımı kullandığını tespit etti.
Saldırı, normal konut ve ev ağlarını hedef alıyor, bu da bir ev yönlendiricisine bulaşmanın ev sahibinin belirli bir hedef olduğu anlamına gelmediğini, daha çok saldırganların amaçlarına yönelik bir boru olduğunu gösteriyor.
Kötü amaçlı yazılım, tehdit aktörlerine tam cihaz kontrolü sağlayarak onların komutları yürütmelerine, dosya aktarmalarına ve onu iletişim rölesi için bir SOCKS proxy’si olarak kullanmalarına olanak tanır.
enfeksiyon zinciri
Check Point Research, Ocak 2023’te Horse Shell TP-Link aygıt yazılımı implantını keşfetti ve bunun Çinli “Mustang Panda” bilgisayar korsanlığı grubuyla bağlantısını ortaya çıkardı.
Check Point Research, önemli çakışmalara rağmen, “Mustang Panda” bilgisayar korsanlığı grubuyla aynı özellikleri paylaşsa da, etkinlik kümesini ayrı olarak “Camaro Dragon” olarak tanımlıyor.
“Camaro Dragon” bilgisayar korsanlığı grubunun niteliği, sunucu IP adresleri, sabit kodlanmış HTTP başlıkları, ikili koddaki yazım hataları ve truva atı ile APT31 “Pakdoor” yönlendirici implantı arasındaki benzerlikler analiz edilerek belirlendi.
Saldırganların yönlendirici cihazlara kötü amaçlı implantlarını bulaştırmak için kullandıkları yöntem belirsizliğini koruyor, ancak bilinen güvenlik açıklarından yararlandıkları veya varsayılan veya zayıf parolalarla cihazları hedef aldıkları tahmin ediliyor.
Saldırganlar, ana enfeksiyonlar ile gerçek C&C arasında, implantın herhangi bir belirli hedefi olmayan cihazlara yüklenmesini gerektirebilecek bir düğüm zinciri oluşturmayı amaçlar.
Kötü Amaçlı İmplant
Check Point, araştırmaları sırasında TP-Link yönlendiricileri için truva atına bulaştırılmış iki ürün yazılımı görüntüsü keşfetti ve bir saldırganın yönetim arayüzüne yönetici erişimi elde ettikten sonra, birkaç yasa dışı değişiklikle uzaktan özel bir kötü amaçlı ürün yazılımı görüntüsüyle cihazı kolayca güncelleyebildiğini ortaya çıkardı.
Kötü amaçlı TP-Link üretici yazılımının, ek kötü amaçlı dosyalar içeren özel bir SquashFS dosya sistemine sahip olduğu, çekirdek ve uBoot bölümlerinin ise yasal sürümle aynı olduğu bulundu.
İmplantın tamamı, adını Horse Shell adlı dahili bileşeninden alır ve saldırgana üç ana işlev sunar. Aşağıda bu üç işlevden bahsettik: –
- Uzak kabuk
- Dosya transferi
- tünel açma
Değiştirilen sabit yazılım, cihaz sahibinin yönlendiricinin sabit yazılımını yönetim web paneli aracılığıyla güncellemesini kısıtlayarak, bulaşmanın kalıcı kalmasını sağlar.
Başlatmanın ardından Horse Shell arka kapı implantı, işletim sistemini arka planda bir arka plan programı olarak çalışmaya ve aşağıdaki gibi sonlandırma komutlarını yok saymaya yönlendirir: –
C2 sunucusuna bağlandıktan sonra, arka kapı kurbanın özel makine profilini aşağıdaki ayrıntılarla birlikte C2 sunucusuna gönderecektir:-
- Kullanıcı adı
- OS sürümü
- Zaman
- Cihaz bilgisi
- IP adresi
- Mac Adresi
- Desteklenen implant özellikleri
Mirai ve Linux tabanlı botnet’ler gibi dikkate değer kötü amaçlı yazılımlar olmasına rağmen, yönlendirici implantları siber güvenlik ortamında yaygın veya yüksek oranda aktif değildir.
Arka kapı implantı, uzak kabuk için Telnet, olay işleme için libev ve açık kaynak havuzlarından alınan HTTP başlıkları ile liste kapsayıcıları için TOR’un akıllı listesi dahil olmak üzere çeşitli açık kaynak kitaplıklarını etkili bir şekilde birleştirir.
Öneri
Ayrıca, güvenliği artırmak için kullanıcıların şu temel hususları takip etmesi önerilir:-
- Yönlendiricilerinin donanım yazılımını güncelleyin.
- Yönetici parolasını güçlendirin.
- Yönetici paneline uzaktan erişimi devre dışı bıraktığınızdan emin olun.
- Yalnızca yerel ağ içinde erişime izin verdiğinizden emin olun.