- W zeszłym tygodniu Microsoft wydał ostrzeżenie, informując, że chińscy cyberprzestępcy wspierani przez państwo naruszyli „krytyczną” infrastrukturę cybernetyczną USA w różnych branżach, w tym w organizacjach rządowych i komunikacyjnych.
- To nie pierwszy taki przypadek. Wcześniej powiązani z Pekinem hakerzy atakowali m.in. rządy państw Azji Południowo-Wschodniej
- Cechą charakterystyczną ataków jest infrastruktura operacyjna składająca się z zainfekowanych routerów
W zeszłym tygodniu Microsoft wydał ostrzeżenie, informując, że chińscy cyberprzestępcy wspierani przez państwo naruszyli „krytyczną” infrastrukturę cybernetyczną USA w różnych branżach, w tym w organizacjach rządowych i komunikacyjnych. To nie pierwszy taki przypadek. Wcześniej powiązani z Pekinem hakerzy atakowali m.in. rządy państw Azji Południowo-Wschodniej Cechą charakterystyczną ataków jest infrastruktura operacyjna składająca się z zainfekowanych routerów – wyjaśniają specjaliści Check Point Research.
„Stany Zjednoczone i międzynarodowe organy ds. bezpieczeństwa cybernetycznego wydają niniejszy wspólny poradnik dotyczący bezpieczeństwa cybernetycznego (CSA), aby zwrócić uwagę na niedawno odkrytą grupę interesujących działań związanych ze sponsorowanym przez państwo podmiotem cybernetycznym z Chińskiej Republiki Ludowej (ChRL), znanym również jako Volt Typhoon” głosi oświadczenie wydane przez władze w USA, Australii, Kanadzie, Nowej Zelandii i Wielkiej Brytanii – krajach tworzących sieć wywiadowczą Five Eyes.
W tym poradniku oraz w towarzyszącym mu wpisie na blogu firmy Microsoft opisano, że Volt Typhoon przekazuje cały swój ruch sieciowy do swoich celów za pośrednictwem zainfekowanych urządzeń brzegowych sieci SOHO (w tym routerów). Wiele urządzeń, w tym te produkowane przez firmy ASUS, Cisco, D-Link, NETGEAR i Zyxel, umożliwia właścicielowi udostępnienie interfejsów zarządzania HTTP lub SSH w Internecie.
Na skróty:
Urządzenia sieciowe za cel. Nie po raz pierwszy
Ataki przeprowadzane przez chińskie grupy cyberszpiegowskie nie są nowością dla ekspertów Check Point Research i społeczności zajmującej się cyberbezpieczeństwem. Chińskie grupy APT, takie jak Volt Typhoon, mają historię wyrafinowanych kampanii cyberszpiegowskich. Ich główną motywacją jest często strategiczne gromadzenie informacji wywiadowczych, ukierunkowane zakłócenia lub po prostu zdobycie przyczółka w sieciach dla przyszłych operacji.
W ciągu ostatnich kilku miesięcy firma Check Point Research (CPR) ściśle monitorowała serię ukierunkowanych ataków wymierzonych w europejskie podmioty zajmujące się sprawami zagranicznymi. Kampanie te zostały powiązane ze sponsorowaną przez państwo chińską grupą APT, którą nazwano Camaro Dragon. Wykazuje ona podobieństwa do wcześniej zgłaszanych działań prowadzonych przez chińskich cyberprzestępców, a mianowicie Mustang Panda.
Wszechstronna analiza tych ataków ujawniła złośliwy implant oprogramowania układowego dostosowany do routerów TP-Link. Implant zawiera kilka złośliwych komponentów, w tym niestandardowy backdoor o nazwie „Horse Shell”, który umożliwia atakującym utrzymanie stałego dostępu, zbudowanie anonimowej infrastruktury i umożliwienie bocznego przemieszczania się do zaatakowanych sieci.
Stany Zjednoczone nie są jedynym celem szpiegów
W marcu 2023 r analitycy Check Pointa ujawnili szczegóły chińskich ataków szpiegowskich skierowanych przeciwko podmiotom rządowym Azji Południowo-Wschodniej, w szczególności w krajach o podobnych roszczeniach terytorialnych lub strategicznych projektach infrastrukturalnych, takich jak Wietnam, Tajlandia i Indonezja.
W lipcu 2021 r. CERT-FR (Francja) poinformował z kolei o dużej kampanii prowadzonej przez powiązanego z Chinami ugrupowanie cyberprzestępcze APT31. Odkryto, że hakerzy korzystali z sieci kratowej złożonej z zainfekowanych routerów, zorganizowanej przy użyciu złośliwego oprogramowania, które nazwali „Pakdoor”.
Wcześniejszy poradnik CISA z 2021 r. również wymieniał wspólne techniki stosowane przez sponsorowane przez Chiny APT. Wśród nich wymieniane jest atakowanie podatnych routerów i przekształcanie ich w część infrastruktury operacyjnej, aby uniknąć wykrycia i hostować działania dowodzenia i kontroli.
Urządzenia brzegowe centralnym punktem strategii
W ostatnich latach obserwujemy rosnące zainteresowanie chińskich cyberprzestępców atakami na urządzenia brzegowe, których celem jest zarówno zbudowanie odpornej i bardziej anonimowej infrastruktury C&C, jak i zdobycie przyczółku w określonych docelowych sieciach.
Urządzenia sieciowe, takie jak routery, często uważane za granice cyfrowego majątku organizacji, służą jako pierwszy punkt kontaktu w komunikacji internetowej. Są one odpowiedzialne za kierowanie i zarządzanie ruchem sieciowym, zarówno legalnym, jak i potencjalnie złośliwym. Włamując się do tych urządzeń, osoby atakujące mogą łączyć swój ruch z legalną komunikacją, co znacznie utrudnia wykrywanie. Urządzenia te, po rekonfiguracji lub naruszeniu zabezpieczeń, umożliwiają również atakującym tunelowanie komunikacji przez sieć, skutecznie zachowując poufność ruchu i unikając tradycyjnych metod wykrywania.
Strategia ta uzupełnia również podejście Volt Typhoon „living off the land”. Zamiast używać złośliwego oprogramowania, które może zostać wykryte przez wiele nowoczesnych systemów bezpieczeństwa, napastnicy wykorzystują wbudowane narzędzia do administrowania siecią, takie jak wmic, ntdsutil, netsh i PowerShell. Szkodliwe działania gubią się w morzu łagodnych zadań administracyjnych, co utrudnia zespołom reagowania identyfikację atakujących spośród legalnych użytkowników.
Takie techniki pozwalają również grupie APT na utrzymanie trwałości w sieci. Naruszenie urządzeń sieciowych Small Office/Home Office (SOHO) może być wykorzystane jako wykorzystanie infrastruktury pośredniej, by ukryć ich prawdziwe pochodzenie i zachować kontrolę nad siecią, nawet jeśli inne elementy działania cyberprzestępców zostaną wykryte i usunięte. Ukryty przyczółek to potężne narzędzie APT, umożliwiające drugą falę ataków lub kradzież danych, nawet jeśli organizacja uważa, że zagrożenie zostało wyeliminowane.
Odkrycie, że wszczepione komponenty są niezależne od oprogramowania układowego, wskazuje, że zagrożona może być szeroka gama urządzeń i dostawców. Co więcej, odkrycie przez Check Point Research niezależnego od oprogramowania układowego charakteru wszczepionych komponentów wskazuje, że zagrożona może być szeroka gama urządzeń i dostawców.
Oświadczenie TP-Link Polska w sprawie ataków hackerskich Camaro Dragon
W związku z pojawiającymi się w mediach informacjami o atakach hackerskich przygotowanych przez grupę Camaro Dragon przygotowaliśmy rekomendacje dla użytkowników, jak zabezpieczyć naszą domową sieć przed tego typu atakami.
Artykuły te oparte są na publikacji badaczy z Check Point Research, którzy odkryli łudząco przypominające oryginalny firmware TP-Link oprogramowanie, w którym zaimplementowano zdalną powłokę do wykonywania poleceń na zainfekowanym urządzeniu, przesyłania i pobierania plików oraz wymiany danych między dwoma zainfekowanymi urządzeniami za pośrednictwem protokołu SOCKS5. SOCKS5 może być używany jako połączenie proxy TCP z dowolnym adresem IP, do przekazywania pakietów UDP, a ostatecznie do tworzenia łańcucha zainfekowanych urządzeń w celu zamaskowania źródła i miejsca docelowego zaszyfrowanego połączenia.
Warto podkreślić, że w publikacji Check Point Research nie ma jakiejkolwiek informacji o złamaniu zabezpieczeń bądź wykryciu luki w zabezpieczeniach w oryginalnym oprogramowaniu TP-Link. Badacze jako najbardziej prawdopodobne źródło infekcji podmienionym oprogramowaniem podają znane podatności (dla których wydano już łatki bezpieczeństwa) oraz słabe hasło do panelu administracyjnego w routerach, w których został skonfigurowany zdalny dostęp od strony WAN.
Jak zabezpieczyć się przed atakiem hackerskim?
Większość użytkowników nie ma potrzeby zdalnego dostępu przez Internet do panelu administracyjnego routera, dlatego też domyślnie ta funkcja jest wyłączona w oprogramowaniu we wszystkich routerach TP-Link.
Jeżeli jednak mamy potrzebę zdalnego dostępu do urządzenia, a nasz router wspiera funkcję serwera OpenVPN, zamiast funkcji zdalnego dostępu i wystawiania panelu zarządzania na zewnątrz, zalecamy konfigurację VPNu do połączenia się z routerem i zarządzanie nim po jego adresie lokalnym.
W przypadku routerów, które nie obsługują VPN, aby zminimalizować ryzyko należy stosować odpowiednio długie (kilkunastoznakowe) hasło do panelu administracyjnego wykorzystujące duże i małe litery cyfry oraz znaki specjalne. Jeżeli logujemy się do niego z zewnątrz z konkretnego, niezmiennego adresu IP warto również ograniczyć zdalny dostęp do routera do tego konkretnego adresu IP.
Ponadto zalecamy, by sprawdzić czy korzystamy z najbardziej aktualnej wersji oprogramowania do naszego routera pochodzącego ze strony TP-Link.
Wszystkich użytkowników, którzy potrzebują pomocy przy aktualizacji firmware bądź zmiany ustawień routera zachęcamy do kontaktu z działem wsparcia technicznego TP-Link pod numerem telefonu 22 360 63 63. Infolinia wsparcia działa od poniedziałku do piątku w godzinach 9:00-19:00.
