Onderzoekers hebben dinsdag een grote doorbraak onthuld: malware die een breed scala aan routers voor thuisgebruik en kleine kantoren kan verstrikken in een netwerk dat in het geheim verkeer doorstuurt naar command-and-control-servers die worden onderhouden door door de staat gesponsorde Chinese hackers.
Een firmware-patch, onthuld door Check Point Research, bevat een complete achterdeur waarmee aanvallers kunnen communiceren en bestanden kunnen overbrengen met geïnfecteerde apparaten, externe opdrachten kunnen geven en bestanden kunnen uploaden, downloaden en verwijderen. De firmware kwam in de vorm van firmware-images voor TP-Link-routers. De goed geschreven C++-code deed echter moeite om de functionaliteit op een “firmware-agnostische” manier te implementeren, wat betekent dat het triviaal zou zijn om het aan te passen om op andere routermodellen te draaien.
Niet het doel, alleen de middelen
Het belangrijkste doel van de malware lijkt het doorgeven van verkeer tussen een geïnfecteerd doelwit en de commando- en controleservers van de aanvallers op een manier die de oorsprong en bestemmingen van de communicatie verhult. Na verdere analyse ontdekte Check Point Research uiteindelijk dat de besturingsinfrastructuur werd beheerd door hackers die gelinkt waren aan Mustang Panda, een geavanceerde hardnekkige dreigingsacteur die volgens zowel Avast als ESET namens de Chinese overheid opereert.
“Uit de geschiedenis lerend, worden router-implantaten vaak geïnstalleerd op willekeurige apparaten die niet van bijzonder belang zijn, met als doel een keten van knooppunten te creëren tussen de belangrijkste infecties en de daadwerkelijke besturing en controle”, schreven de Check Point-onderzoekers in een kortere beschrijving. . “Met andere woorden, het infecteren van een thuisrouter betekent niet dat de huiseigenaar een specifiek doelwit was, maar eerder dat het slechts een middel is om een doel te bereiken.”
Onderzoekers ontdekten het implantaat tijdens het onderzoeken van een reeks gerichte aanvallen op Europese entiteiten voor buitenlandse zaken. Het belangrijkste onderdeel is een achterdeur met de interne naam Horse Shell. De drie hoofdfuncties van Horse Shell zijn:
- Een externe shell om opdrachten uit te voeren op het geïnfecteerde apparaat
- Bestandsoverdracht om bestanden te uploaden en downloaden van en naar het geïnfecteerde apparaat
- De uitwisseling van gegevens tussen twee apparaten met behulp van SOCKS5, een protocol voor het tot stand brengen van TCP-verbindingen naar een willekeurig IP-adres en het bieden van een manier om UDP-pakketten door te sturen.
SOCKS5-functionaliteit lijkt het uiteindelijke doel van het implantaat te zijn. Door een keten van geïnfecteerde apparaten te creëren die alleen versleutelde verbindingen tot stand brengen met de dichtstbijzijnde twee knooppunten (één in elke richting), is het moeilijk voor iedereen die een van deze apparaten tegenkomt om de oorsprong of eindbestemming of het ware doel van de infectie te achterhalen. Zoals onderzoekers van Check Point schreven:
Het implantaat kan communicatie tussen twee knooppunten doorgeven. Op deze manier kunnen aanvallers een keten van knooppunten maken die verkeer naar de command and control-server doorsturen. Op deze manier kunnen aanvallers de laatste opdracht en controle verbergen, aangezien elk knooppunt in de keten alleen informatie heeft over het vorige en volgende knooppunt, aangezien elk knooppunt een geïnfecteerd apparaat is. Slechts een paar knooppunten kennen de identiteit van de uiteindelijke opdracht en controle.
Door meerdere lagen knooppunten te gebruiken om communicatie te routeren, kunnen bedreigingsactoren de oorsprong en bestemming van verkeer verhullen, waardoor het voor verdedigers moeilijk wordt om verkeer terug naar C2 te traceren. Dit maakt het moeilijker voor verdedigers om de aanval te detecteren en erop te reageren.
Bovendien maakt een keten van geïnfecteerde knooppunten het moeilijker voor verdedigers om de communicatie tussen de aanvaller en C2 te verstoren. Als een knooppunt in de keten wordt gecompromitteerd of verwijderd, kan de aanvaller de communicatie met C2 onderhouden door verkeer via een ander knooppunt in de keten te leiden.
Herinner je je VPNFilter, ZuroRat en Hiatus nog?
Het gebruik van routers en andere zogenaamde Internet of Things-apparaten om controleservers en proxyverkeer te verbergen, is een van de oudste trucs in de bedreigingshandel. Een van de meer bekende voorbeelden van andere hackcampagnes die deze pagina uit het playbook hebben geleend, is er een die in 2018 werd ontdekt en die VPNFilter gebruikte. De malware is gemaakt door het door het Kremlin gesteunde APT28 (ook bekend als Fancy Bear) en bleek meer dan 500.000 netwerkapparaten van Linksys, Mikrotik, Netgear, TP-Link en QNAP te infecteren. VPNFilter bood een verscheidenheid aan functies, waarvan de belangrijkste mogelijk werd gemaakt door een “socks5proxy” -module die het gecompromitteerde apparaat veranderde in een SOCKS5 virtual private network-proxy. Vergelijkbare voorbeelden zijn de malware genaamd ZuoRAT, die vorig jaar werd ontdekt en een groot aantal routers van Cisco, Netgear, Asus en DrayTek infecteert. Eerder dit jaar ontdekten onderzoekers Hiatus, een geavanceerde hackcampagne die routers met hoge bandbreedte verwisselde van DrayTek SOCKS-proxy’s.
Check Point-onderzoekers weten nog niet hoe het kwaadaardige implantaat op apparaten wordt geïnstalleerd. Een waarschijnlijke gok is dat bedreigingsactoren misbruik maken van kwetsbaarheden in de apparaten of op internet zoeken naar apparaten die worden beschermd door zwakke of standaard beheerwachtwoorden.
Hoewel de enige tot nu toe ontdekte firmware-image alleen op TP-Link-apparaten draait, is er niets dat bedreigingsactoren ervan weerhoudt om images te maken die op een veel breder scala aan hardware kunnen worden uitgevoerd. Deze platformonafhankelijke mogelijkheid is het resultaat van implantaatarchitecten die meerdere open source-bibliotheken in hun code hebben opgenomen. Bibliotheken omvatten Telnet voor de externe shell, libev voor het afhandelen van gebeurtenissen, libbase32 voor het coderen en decoderen van base32 binaire gegevens en een lijst met containers op basis van de TOR-smartlist.
Andere inspiratie kan afkomstig zijn van projecten zoals de Shadowsocks-libev-server en de udptun UDP-tunnel. De gebruikte HTTP-headers zijn verkregen uit open source-repositories.
“De geïmplanteerde componenten werden ontdekt in gewijzigde TP-Link-firmware-afbeeldingen”, schreven de onderzoekers. “Ze zijn echter geschreven op een firmware-agnostische manier en zijn niet product- of leverancierspecifiek. Als gevolg hiervan kunnen ze worden opgenomen in verschillende firmware van verschillende leveranciers.”
