Forscher von Check Point Research(CPR) waren in der Lage eine Reihe an Cyberangriffen der chinesischen APT-Gruppe „Camaro Dragon“ aufzudecken. Dabei wurde eine veränderte, bösartige Firmware für TP-Link-Router entdeckt, welche eine angepasste Backdoor namens „Horse Shell“ beinhaltet.
Kürzlich untersuchte Check Point Research (CPR) eine Reihe von gezielten Cyberangriffen auf europäische Einrichtungen für auswärtige Angelegenheiten und führte sie auf eine vom chinesischen Staat gesponserte APT-Gruppe zurück, die von CPR als „Camaro Dragon“ bezeichnet wird. Diese Aktivitäten weisen erhebliche infrastrukturelle Überschneidungen mit Aktivitäten auf, die öffentlich mit „Mustang Panda“ in Verbindung gebracht werden.
Präpariertes Firmware-Update mit Hintertür
Die Sicherheitsforscher entdeckten ein bösartiges Firmware-Implantat, das für TP-Link-Router erstellt wurde und verschiedene schädliche Komponenten enthält, darunter eine angepasste Backdoor namens „Horse Shell“. Die Backdoor ermöglichte es Angreifern, die volle Kontrolle über das infizierte Gerät zu übernehmen, unentdeckt zu bleiben und auf kompromittierte Netzwerke zuzugreifen. Eine gründliche Analyse von CPR hat diese bösartigen Taktiken aufgedeckt und bietet eine detaillierte Analyse.
Dieser Beitrag beschäftigt sich mit den komplexen Details der Analyse des „Horse Shell“-Router-Implantats, Erkenntnisse über die Funktionsweise des Implantats mitteilen und es mit anderen Router-Implantaten vergleichen, die mit anderen vom chinesischen Staat gesponserten Gruppen in Verbindung gebracht werden. Durch die Untersuchung dieses Implantats soll Licht in die Techniken und Taktiken der APT-Gruppe gebracht werden, um ein besseres Verständnis dafür zu entwickeln, wie Bedrohungsakteure bösartige Firmware-Implantate in Netzwerkgeräten für ihre Angriffe nutzen.
Attacke auf europäische Einrichtungen für auswärtige Angelegenheiten
Die Untersuchung der „Camaro Dragon“-Aktivitäten bezog sich auf eine Kampagne, die hauptsächlich auf europäische Einrichtungen für auswärtige Angelegenheiten abzielte. Obwohl Horse Shell auf der angreifenden Infrastruktur gefunden wurde, ist unklar, wer die Opfer des Router-Implantats sind.
Aus der Vergangenheit ist bekannt, dass Router-Implantate oft auf beliebigen Geräten ohne besonderes Interesse installiert werden, um eine Verbindung zwischen den Hauptinfektionen und der eigentlichen Befehls- und Kontrollfunktion zu schaffen. Mit anderen Worten: Die Infizierung eines Heimrouters bedeutet nicht, dass der Hausbesitzer gezielt angegriffen wurde, sondern dass er nur ein Mittel zum Zweck ist.
Haben Sie kurz Zeit?
Nehmen Sie sich ein paar Minuten Zeit für unsere Nutzerumfrage 2023 und helfen Sie B2B-CYBER-SECURITY.de besser zu machen! Sie sollen nur 10 Fragen beantworten und haben sofort eine Chance auf Gewinne von Kaspersky, ESET und Bitdefender. Hier geht es direkt zur UmfrageEU-Richtlinie für Sicherheitsfunktionen
Hersteller können ihre Geräte besser vor Malware und Cyberangriffen schützen. Vorschriften wie die EU Machinery Directive verlangen von Anbietern und Herstellern, dass sie sicherstellen, dass die Geräte keine Risiken für die Benutzer darstellen und dass sie Sicherheitsfunktionen in die Geräte integrieren.
Check Point IoT Embedded mit Nano Agent® bietet einen Laufzeitschutz auf dem Gerät, der vernetzte Geräte mit integrierter Firmware-Sicherheit ermöglicht. Der Nano Agent® ist ein maßgeschneidertes Paket, das die besten Sicherheitsfunktionen bietet und bösartige Aktivitäten auf Routern, Netzwerkgeräten und anderen IoT-Geräten verhindert. Check Point IoT Nano Agent® verfügt über fortschrittliche Funktionen wie Speicherschutz, Anomalieerkennung und Kontrollflussintegrität.
Mehr bei CheckPoint.com
Über Check Point Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.