Badacze z Check Point we wtorek poinformowali o bardzo poważnym odkryciu: ujawnili oni złośliwe "dodatki" w oprogramowaniu układowym dla routerów TP-LINK. W środku znajdował się w pełni funkcjonalny backdoor pozwalający na nawiązywanie komunikacji i przesyłanie plików z zainfekowanymi urządzeniami, zdalne wydawanie poleceń oraz przesyłanie, pobieranie i usuwanie plików.
Jak wynika z informacji przekazanych przez badaczy cyberbezpieczeństwa, złośliwy kod napisano w C++, jednak w taki sposób, aby był on w pełni niezależni od oprogramowania układowego. To oznacza, że modyfikacja w celu uruchomienia na routerach innych producentów jest jak najbardziej możliwa i byłaby bardzo prosta. Najpewniej taka była intencja twórców cyberzagrożenia, aby wkrótce zaatakować inne routery.
Infrastruktura kontroli cyberzagrożenia była obsługiwana - według dalszych odkryć badaczy - przez grupę Mustang Panda: to chińscy hakerzy powiązani z tamtejszym rządem. Najprawdopodobniej, celem było "zaciemnienie" prawdziwego źródła ruchu w kontekście kontroli realnych celów infekcji. Badacze z Check Point badali bowiem ukierunkowane ataki na instytucje zajmujące się relacjami zagranicznymi: przez zainfekowane routery "przepychany" był ruch - a czym więcej węzłów, tym lepiej dla utrzymania tajności źródła komunikacji.
Wśród możliwości backdoora znajdują się takie operacje jak: wykonywanie poleceń na zainfekowanym sprzęcie, transfer plików, wymiana danych między dwoma urządzeniami przy użyciu SOCKS5. Biorąc pod uwagę zasięg tej kampanii, hakerzy bardzo chcieli ukryć prawdziwy cel tych infekcji.
W 2018 roku mieliśmy do czynienia z akcją organizacji APT28 - finansowej przez Kreml, która skutecznie zaatakowała i zainfekowała ponad pół miliona urządzeń Linksys, Mikrotik, Netgear, TP-Link i innych firm. Po wniknięciu do routera, obecny w module VPNFilter zmieniał sprzęt w serwer proxy prywatnej sieci wirtualnej SOCKS5.
Na razie nie ma zweryfikowanych doniesień na temat podobnego oprogramowania układowego na urządzenia innych producentów, jednak - jak twierdzą sami badacze - byłoby to jedynie kwestią czasu, gdyby nie ujawniono tego ataku. Backdoor był zbudowany w taki sposób, aby można było go spokojnie przeportować na oprogramowania układowe innych producentów: to wskazuje na to, że ów atak był bardzo dobrze zaplanowany z myślą o masowych infekcjach.
W związku z pojawiającymi się w mediach informacjami o atakach hackerskich przygotowanych przez grupę Camaro Dragon przygotowaliśmy rekomendacje dla użytkowników, jak zabezpieczyć naszą domową sieć przed tego typu atakami.
Artykuły te oparte są na publikacji badaczy z Check Point Research, którzy odkryli łudząco przypominające oryginalny firmware TP-Link oprogramowanie, w którym zaimplementowano zdalną powłokę do wykonywania poleceń na zainfekowanym urządzeniu, przesyłania i pobierania plików oraz wymiany danych między dwoma zainfekowanymi urządzeniami za pośrednictwem protokołu SOCKS5. SOCKS5 może być używany jako połączenie proxy TCP z dowolnym adresem IP, do przekazywania pakietów UDP, a ostatecznie do tworzenia łańcucha zainfekowanych urządzeń w celu zamaskowania źródła i miejsca docelowego zaszyfrowanego połączenia.
Warto podkreślić, że w publikacji Check Point Research nie ma jakiejkolwiek informacji o złamaniu zabezpieczeń bądź wykryciu luki w zabezpieczeniach w oryginalnym oprogramowaniu TP-Link. Badacze jako najbardziej prawdopodobne źródło infekcji podmienionym oprogramowaniem podają znane podatności (dla których wydano już łatki bezpieczeństwa) oraz słabe hasło do panelu administracyjnego w routerach, w których został skonfigurowany zdalny dostęp od strony WAN.
Jak zabezpieczyć się przed atakiem hackerskim?
Większość użytkowników nie ma potrzeby zdalnego dostępu przez Internet do panelu administracyjnego routera, dlatego też domyślnie ta funkcja jest wyłączona w oprogramowaniu we wszystkich routerach TP-Link.
Jeżeli jednak mamy potrzebę zdalnego dostępu do urządzenia, a nasz router wspiera funkcję serwera OpenVPN, zamiast funkcji zdalnego dostępu i wystawiania panelu zarządzania na zewnątrz, zalecamy konfigurację VPNu do połączenia się z routerem i zarządzanie nim po jego adresie lokalnym.
W przypadku routerów, które nie obsługują VPN, aby zminimalizować ryzyko należy stosować odpowiednio długie (kilkunastoznakowe) hasło do panelu administracyjnego wykorzystujące duże i małe litery cyfry oraz znaki specjalne. Jeżeli logujemy się do niego z zewnątrz z konkretnego, niezmiennego adresu IP warto również ograniczyć zdalny dostęp do routera do tego konkretnego adresu IP.
Ponadto zalecamy, by sprawdzić czy korzystamy z najbardziej aktualnej wersji oprogramowania do naszego routera pochodzącego ze strony TP-Link.
Wszystkich użytkowników, którzy potrzebują pomocy przy aktualizacji firmware bądź zmiany ustawień routera zachęcamy do kontaktu z działem wsparcia technicznego TP-Link pod numerem telefonu 22 360 63 63. Infolinia wsparcia działa od poniedziałku do piątku w godzinach 9:00-19:00.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
