Check Point Research (CPR) heeft een reeks gerichte cyberaanvallen tegen Europese instanties voor buitenlandse zaken onderzocht en deze toegeschreven aan een door de Chinese staat gesponsorde Advanced Persistent Threat (APT) groep die door de cyberbeveiliger "Camaro Dragon" wordt genoemd. De onderzoekers ontdekten een kwaadaardig besturingssysteem voor TP-Link routers dat verschillende schadelijke componenten bevat, waaronder een aangepaste backdoor met de naam "Horse Shell". Hiermee konden aanvallers de volledige controle over het geïnfecteerde toestel overnemen, onopgemerkt blijven en toegang krijgen tot gecompromitteerde netwerken.
CPR's onderzoek naar de activiteiten van 'Camaro Dragon' betrof een campagne die voornamelijk gericht was op Europese instanties voor buitenlandse zaken. Hoewel Horse Shell op de aanvallende infrastructuur werd gevonden, blijft het onduidelijk wie de slachtoffers van de routerimplantatie zijn. Routerimplantaten worden vaak geïnstalleerd op willekeurige toestellen zonder bijzonder belang, met als doel een keten van knooppunten te creëren tussen de belangrijkste infecties en echte commando- en controlefuncties. Met andere woorden, het infecteren van een thuisrouter betekent niet dat de eigenaar een specifiek doelwit was, maar eerder dat hij slechts een middel is om een doel te bereiken.
TL-WR940N V4, model waarop de gehackte firmware is aangetroffen
Mogelijk kregen de aanvallers toegang kregen tot toestellen door ze te scannen op bekende kwetsbaarheden of zich te richten op toestellen die standaard of zwakke wachtwoorden gebruiken voor authenticatie. Deze bevindingen schetsen niet alleen een duidelijker beeld van de Camaro Dragon-groep en zijn toolset, maar zijn ook van belang voor de bredere cyberbeveiligingsgemeenschap. Ze bieden cruciale kennis voor het begrijpen van en verdedigen tegen soortgelijke bedreigingen in de toekomst.
TP-Link heeft inmiddels bij monde van marketingspecialist Sven van Meygaard gereageerd op CPR’s melding:
De gehackte firmware is in dit geval aangetroffen op de TL-WR940N V4, een model dat al een tijd EOL is. Er is geen indicatie dat deze router kwetsbaarheden bevat, de onderzoekers kunnen ook niet bevestigen hoe de firmware op de router terecht is gekomen. Het vermoeden is dat dit is gebeurd door zwakke gebruikersnamen en/of wachtwoorden te gebruiken of via een phishing aanval op de gebruiker waardoor deze zelf de verkeerde firmware installeert.
Ons hoofdkantoor doet momenteel onderzoek, mochten er kwetsbaarheden worden gevonden dan worden deze alsnog opgelost.
De module in de gehackte firmware lijkt niet geschreven te zijn voor één specifiek model router (geschreven in een "firmware-agnostic manner") en kan dus mogelijk ook op routers van andere fabrikanten staan. Dat het ook op apparaten van andere fabrikanten staat hebben we nog niet kunnen bevestigen, maar bij voorgaande vergelijkbare incidenten was dat wel het geval. We raden iedereen sterk aan de firmware van hun router altijd up to date te houden en goede gebruikersnamen en wachtwoorden te gebruiken.
Het spreekt voor zich dat deze gehackte firmware niet bij TP-Link vandaan komt en dat TP-Link geen banden heeft met de in het onderzoek genoemde organisaties.
Bron: Check Point Research
