Forscher haben am Dienstag eine wichtige Entdeckung enthüllt: bösartige Firmware, die eine Vielzahl von Routern für Privathaushalte und kleine Büros in ein Netzwerk einbinden kann, das den Datenverkehr heimlich an Befehls- und Kontrollserver weiterleitet, die von staatlich geförderten chinesischen Hackern betrieben werden.
Ein Firmware-Implantat, das in einem Artikel von Check Point Research enthüllt wurde, enthält eine voll funktionsfähige Hintertür, die es Angreifern ermöglicht, Kommunikation und Dateiübertragungen mit infizierten Geräten herzustellen, aus der Ferne Befehle zu erteilen sowie Dateien hochzuladen, herunterzuladen und zu löschen. Das Implantat erfolgte in Form von Firmware-Images für TP-Link-Router. Der gut geschriebene C++-Code hat sich jedoch Mühe gegeben, seine Funktionalität „firmwareunabhängig“ zu implementieren, was bedeutet, dass es trivial wäre, ihn für die Ausführung auf anderen Routermodellen zu modifizieren.
Nicht der Zweck, nur die Mittel
Der Hauptzweck der Malware scheint darin zu bestehen, den Datenverkehr zwischen einem infizierten Ziel und den Befehls- und Kontrollservern der Angreifer so weiterzuleiten, dass die Ursprünge und Ziele der Kommunikation verschleiert werden. Bei weiteren Analysen stellte Check Point Research schließlich fest, dass die Kontrollinfrastruktur von Hackern betrieben wurde, die mit Mustang Panda in Verbindung stehen, einem hochentwickelten Persistent Threat Actor, der nach Angaben der Sicherheitsfirmen Avast und ESET im Auftrag der chinesischen Regierung arbeitet.
„Aus der Geschichte geht hervor, dass Router-Implantate oft auf beliebigen Geräten ohne besonderes Interesse installiert werden, mit dem Ziel, eine Knotenkette zwischen den Hauptinfektionen und der tatsächlichen Befehls- und Kontrollfunktion zu schaffen“, schrieben die Forscher von Check Point in einem kürzeren Artikel. „Mit anderen Worten bedeutet die Infektion eines Heimrouters nicht, dass der Hausbesitzer gezielt angegriffen wurde, sondern dass er nur ein Mittel zum Ziel ist.“
Die Forscher entdeckten das Implantat bei der Untersuchung einer Reihe gezielter Angriffe gegen europäische Außenpolitikorganisationen. Der Hauptbestandteil ist eine Hintertür mit dem internen Namen Horse Shell. Die drei Hauptfunktionen von Horse Shell sind:
- Eine Remote-Shell zum Ausführen von Befehlen auf dem infizierten Gerät
- Dateiübertragung zum Hoch- und Herunterladen von Dateien auf und von dem infizierten Gerät
- Der Datenaustausch zwischen zwei Geräten mithilfe von SOCKS5, einem Protokoll zur Weiterleitung von TCP-Verbindungen an eine beliebige IP-Adresse und zur Bereitstellung einer Möglichkeit zur Weiterleitung von UDP-Paketen.
Die SOCKS5-Funktionalität scheint der ultimative Zweck des Implantats zu sein. Durch die Schaffung einer Kette infizierter Geräte, die verschlüsselte Verbindungen nur mit den beiden nächstgelegenen Knoten (einem in jede Richtung) herstellen, ist es für jeden, der auf eines davon stößt, schwierig, den Ursprung oder das endgültige Ziel oder den wahren Zweck der Infektion herauszufinden. Wie Check Point-Forscher schrieben:
Das Implantat kann die Kommunikation zwischen zwei Knoten weiterleiten. Auf diese Weise können die Angreifer eine Kette von Knoten erstellen, die den Datenverkehr an den Befehls- und Kontrollserver weiterleiten. Auf diese Weise können die Angreifer die endgültige Befehls- und Kontrollfunktion verbergen, da jeder Knoten in der Kette nur über Informationen zum vorherigen und nächsten Knoten verfügt und jeder Knoten ein infiziertes Gerät ist. Nur eine Handvoll Knoten kennen die Identität des endgültigen Befehls und der endgültigen Kontrolle.
Durch die Verwendung mehrerer Knotenebenen zum Tunneln der Kommunikation können Bedrohungsakteure den Ursprung und das Ziel des Datenverkehrs verschleiern, was es für Verteidiger schwierig macht, den Datenverkehr bis zum C2 zurückzuverfolgen. Dadurch wird es für Verteidiger schwieriger, den Angriff zu erkennen und darauf zu reagieren.
Darüber hinaus erschwert eine Kette infizierter Knoten es den Verteidigern, die Kommunikation zwischen dem Angreifer und dem C2 zu stören. Wenn ein Knoten in der Kette kompromittiert oder abgeschaltet wird, kann der Angreifer die Kommunikation mit dem C2 immer noch aufrechterhalten, indem er den Datenverkehr über einen anderen Knoten in der Kette weiterleitet.
Erinnern Sie sich an VPNFilter, ZuroRat und Hiatus?
Der Einsatz von Routern und anderen sogenannten Internet-of-Things-Geräten zur Verschleierung von Kontrollservern und verdecktem Proxy-Verkehr gehört zu den ältesten Tricks im Handwerk von Bedrohungsakteuren. Zu den bekanntesten Beispielen für andere Hacking-Kampagnen, die diese Seite aus dem Playbook übernehmen, gehört eine im Jahr 2018 entdeckte, die VPNFilter verwendete. Die Malware wurde von der vom Kreml unterstützten APT28 (auch bekannt als Fancy Bear) erstellt und infizierte mehr als 500.000 Netzwerkgeräte von Linksys, Mikrotik, Netgear, TP-Link und QNAP. VPNFilter stellte eine Vielzahl von Funktionen bereit, von denen die wichtigste durch ein „socks5proxy“-Modul aktiviert wurde, das das kompromittierte Gerät in einen SOCKS5-Proxyserver für ein virtuelles privates Netzwerk verwandelte. Ähnliche Beispiele sind Malware namens ZuoRAT, die letztes Jahr entdeckt wurde und eine große Anzahl von Routern der Hersteller Cisco, Netgear, Asus und DrayTek infizierte. Anfang dieses Jahres entdeckten Forscher Hiatus, eine raffinierte Hacking-Kampagne, die Router mit hoher Bandbreite vom Hersteller DrayTek SOCKS in Proxys verwandelte.
Die Forscher von Check Point wissen immer noch nicht, wie das bösartige Implantat auf Geräten installiert wird. Eine wahrscheinliche Wette besteht darin, dass die Bedrohungsakteure entweder Schwachstellen in den Geräten ausnutzen oder das Internet nach Geräten durchsuchen, die durch schwache oder standardmäßige Administratorkennwörter geschützt sind.
Während das einzige bisher entdeckte Firmware-Image nur auf TP-Link-Geräten läuft, hindert nichts die Bedrohungsakteure daran, Images zu erstellen, die auf einer viel größeren Bandbreite an Hardware laufen. Diese plattformübergreifende Fähigkeit resultiert aus der Integration mehrerer Open-Source-Bibliotheken durch die Implantatarchitekten in ihren Code. Zu den Bibliotheken gehören Telnet für die Remote-Shell, libev zur Verarbeitung von Ereignissen, libbase32 zum Kodieren und Dekodieren von Base32-Binärdaten und eine Liste von Containern, die auf der TOR-Smartlist basieren.
Weitere Inspirationen könnten von Projekten stammen, darunter dem Shadowsocks-libev-Server und dem UDP-Tunnel udptun. Die verwendeten HTTP-Header wurden aus Open-Source-Repositories entnommen.
„Die implantierten Komponenten wurden in modifizierten TP-Link-Firmware-Images entdeckt“, schrieben die Forscher. „Sie wurden jedoch Firmware-unabhängig geschrieben und sind nicht spezifisch für ein bestimmtes Produkt oder einen bestimmten Anbieter. Infolgedessen könnten sie von verschiedenen Anbietern in unterschiedliche Firmware integriert werden.“