Araştırmacılar, Camaro Dragon olarak bilinen Çin devlet destekli bir grubun Avrupa dışişleri kuruluşlarına siber saldırılar düzenlediğini tespit etti.
Araştırmacılar, saldırının tam hedefini veya nasıl başlatıldığını belirleyemediler, ancak Camaro Dragon tarafından Avrupa dışişleri birimlerine yönelik siber saldırıların izini, TP-Link yönlendiricileri için özel olarak yapılmış bir ürün yazılımı implantına kadar izlediler.
Check Point Research raporu, “Bu keşif, Çinli tehdit aktörlerinin internete bakan ağ cihazlarını kullanma ve bunların altında yatan yazılımları veya sabit yazılımları değiştirme yönündeki uzun süredir devam eden eğiliminin bir başka örneğidir” dedi.
Hedefin kullanıcı adını, sistem adlarını, işletim sistemi sürümünü, işletim sistemi zamanını ve CPU mimarisini çalmayı amaçlayan Camaro Dragon tarafından Avrupa dışişleri birimlerine yönelik siber saldırılar. Ayrıca, CPU sayısına, RAM’e, MAC adresine ve aktif bağlantı sayısına erişim sağladı.
Avrupa dışişleri kuruluşlarına yönelik siber saldırılar: Ayrıntılar
Araştırmacılar, Camaro Dragon grubu tarafından Avrupa dışişleri siber saldırısından çalınan verileri taşımak için Horse Shell adlı bir arka kapı buldu. Veri hırsızlığının yanı sıra Camaro Dragon, ağ üzerinden veri aktarımı da yapan ağ tüneli için arka kapıyı kullandı.
Yerleştirilen bileşenlerin sabit yazılımdan bağımsız doğasına bağlı olarak, birkaç üretici ve cihazın siber saldırı riski altında olduğu tahmin edilmektedir. Camaro Dragon ile ilgili bu araştırma referans alınarak Avrupa ülkelerine yönelik birçok siber saldırı izlendi.
Horse Shell implantı C++ ile yazılmıştır. MIPS32 tabanlı işletim sistemi için yapılmıştır.
Değiştirilmiş iki TP-Link yönlendirici üretici yazılımı görüntüsünün, orijinal üretici yazılımına kötü amaçlı bileşenlerin eklenebilmesi için değiştirilmiş olduğu bulundu. Donanım yazılımı, TP-Link yönlendirici modeli WR940N içindi. Araştırmacılar, grubun sistemi nasıl yerleştirdiğini görmek için her bir bileşeni kontrol ederek bulunan v4 ve v6 donanım sürümlerini karşılaştırdı.
Söz konusu ürün yazılımı sürümlerinin uBoot ve çekirdeğinin aynı olduğu bulundu, bu da Camaro Dragon’un bunları kurcalamadığını doğruladı. Bununla birlikte, dosya sistemleri farklıydı ve bu da araştırmacıları kurcalanmış olanları bulmak için her dosyayı karşılaştırmaya yöneltti.
Raporda, kullanıcılara uygun siber hijyen sağlamaya ilişkin bir mesajda, “Bu arada, ağ cihazlarınızı güncel ve güvenli tutmayı unutmayın ve ağınızdaki herhangi bir şüpheli etkinlikten sakının – ejderhanın içinde kimin gizlendiğini asla bilemezsiniz. sığınak!”
Orijinal üretici yazılımı web arayüzü (Fotoğraf: Check Point Research)
Aşağıdaki dosyaların siber suçlular tarafından eklendiği tespit edildi –
- usr/bin/kabuk
- /usr/bin/kabuk
- /usr/bin/zamanlayıcı
- /usr/bin/udhcp
Bu dosyalar değiştirilirken:
- /etc/rc.d/rcS
- /web/userRpm/SoftwareUpgradeRpm.htm
Ürün yazılımının değiştirilmiş sürümü, HTML formunda bulunan satır içi bir CSS özelliğine sahiptir. Camaro Dragon’un kullandığı görüntü yok formu kullanıcıdan gizleyen özellik. HTML formunu gizlemek onu kaldırmadı, bunun yerine arka plandayken yükseltmeyi zorlaştırdı.
Üretici yazılımının değiştirilmesi, grubun dosyaları diğer işlevlerin yanı sıra gizli bir şekilde aktarmasına izin verdi.
Camaro Dragon’un kökeni
Check Point Research raporu, Horse Shell’de birkaç yazım hatası buldu ve ikili dosyanın birkaç dizi yapıtı ve hata ayıklama günlükleri ile kaldığını gösteriyor. Yazım hataları, geliştiricilerin anadili İngilizce olmayabileceğini de gösterdi. Sıklıkla yanlış yazılan bazı kelimeler tatal olarak, alan dosyalanmış olarak ve boşluk boşluk olarak yazılmıştır.
Camaro Dragon tarafından Avrupa dışişleri kuruluşlarına yönelik bu siber saldırıda kullanılan araçlar, diğer yerleşik Çin devleti destekli saldırganlar tarafından kullanılanlara benziyordu.
Camaro Dragon tehdit aktörleri tarafından gerçekleştirilen Avrupa dışişleri siber saldırısının gerçek hedefleri konusunda netlik olmaması nedeniyle bazı çıkarımlar yapılmıştır. Tarihsel olarak, ana bulaşma ile C&C sunucusu arasında bir bağlantı için bir düğüm zinciri oluşturmak üzere keyfi sistemlere yönlendirici implantlar kuruldu.
Camaro Dragon’un faaliyetlerinin, Mustang Panda adlı başka bir Çin devlet destekli siber suçluya da benzer olduğu bulundu.
Avrupa dışişleri kuruluşlarına yönelik siber saldırılar: Zayıf üretici yazılımı
Camaro Dragon ile bağlantılı olarak bulunan özel bir üretici yazılımı görüntüsü, görüntünün Horse Shell olarak da adlandırılan bir MIPS32 ELF implantı da dahil olmak üzere birkaç kötü amaçlı bileşene sahip olduğunu gösteriyor.
Saldırganlar, uzak kabuk implantasyonundan sonra üç ana hedefe ulaştı. Bilgisayar korsanları, keyfi kabuk komutlarını yürütebildi, virüslü yönlendiricilerden yükleme ve indirme seçenekleri ve SOCK tüneli aracılığıyla istemciler arasında mesajlar gönderebildi.
“İmplant, kodunda birden çok açık kaynak kitaplığını akıllıca entegre etti. Uzak kabuğu Telnet’e dayalıdır, olaylar libev tarafından yönetilir, içinde libbase32 ve ikcp vardır ve liste kapsayıcıları TOR’un akıllı listesine, uygulamasına dayalıdır, ”dedi araştırma.