Роутеры TP-Link взламывают хакеры Mustang Panda из Китая

Сначала 2023 года китайская хакерская группировка Mustang Panda (известная также как Camaro Dragon, BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta и Red Lich) начала серию нападений на европейские внешнеполитические институты. Специалисты Check Point, анализируя эти атаки, выявили уникальный имплант, созданный специально для прошивок роутеров TP-Link.

«Имплант включает в себя несколько вредоносных элементов, включая специализированный бэкдор под названием Horse Shell, который позволяет злоумышленникам сохранять постоянный доступ, строить анонимную инфраструктуру и обеспечивать себе возможность латерального движения в скомпрометированных сетях», — объясняют специалисты. «За счет своего дизайна, компоненты импланта могут интегрироваться в различные прошивки от разных производителей».

Точная методика, которую хакеры используют для внедрения вредоносных прошивок на зараженные роутеры, пока неизвестна. Эксперты предполагают, что первоначальный доступ мог быть получен через использование известных уязвимостей или путем подбора стандартных и легко предсказуемых паролей.

Общий план атаки

Horse Shell основан на C++ и предоставляет злоумышленникам полный контроль над устройством: способность выполнять любые шелл-команды, загружать файлы на роутер и с роутера, а также передавать информацию между двумя разными клиентами. Кроме того, модифицированная прошивка скрывает от пользователя возможность изменения прошивки через веб-интерфейс роутера.

В процессе исследования были обнаружены две версии троянизированных прошивкт для роутеров TP-Link, каждая из которых содержала множество модификаций и дополнений. Аналитики Check Point сопоставили вредоносную прошивку с оригинальной и установили, что секции ядра и uBoot совпадают. Однако вредоносная прошивка использовала кастомную файловую систему SquashFS, которая содержала дополнительные вредоносные компоненты, являющиеся частью Horse Shell.

Стоит отметить, что бэкдор, вероятно, направлен на случайные устройства в обычных домашних сетях, а скомпрометированные роутеры могут объединяться в mesh-сеть для создания «цепи промежуточных узлов между основными зараженными [целями] и реальными командными серверами».

При обмене сообщениями между зараженными роутерами используется SOCKS-туннель, чтобы обеспечить дополнительный уровень анонимности и скрыть конечный сервер, так как каждый узел в цепи содержит информацию только о предыдущих и последующих узлах. Другими словами, это позволяет маскировать источник и назначение трафика, подобно Tor, что существенно затрудняет обнаружение масштабов атак и борьбу с ними.