Chinese staatshackers maken gebruik van kwaadaardig besturingssysteem voor TP-Link routers
Een aanvalsgroep die steun krijgt vanuit de Chinese staat is verantwoordelijk voor een reeks gerichte cyberaanvallen op Europese instanties die zich bezig houden met buitenlandse zaken. Zij maakten hierbij gebruik van een kwaadaardig besturingssysteem voor TP-Link routers dat verschillende schadelijke componenten bevat, waaronder een aangepaste backdoor met de naam "Horse Shell". Hierdoor konden aanvallers de volledige controle over het geïnfecteerde toestel overnemen, onopgemerkt blijven en toegang krijgen tot gecompromitteerde netwerken.
Hiervoor waarschuwt Check Point Research (CPR), dat onderzoek deed naar de activiteiten van de groep die 'Camaro Dragon' wordt genoemd. Het ging daarbij om een campagne die voornamelijk gericht was op Europese instanties voor buitenlandse zaken. Hoewel Horse Shell op de aanvallende infrastructuur is gevonden, is het onduidelijk wie de slachtoffers van de routerimplantatie zijn.
Een middel om een doel te bereiken
Routerimplantaten worden vaak geïnstalleerd op willekeurige toestellen zonder bijzonder belang, met als doel een keten van knooppunten te creëren tussen de belangrijkste infecties en echte commando- en controlefuncties. Met andere woorden, het infecteren van een thuisrouter betekent niet dat de eigenaar een specifiek doelwit was, maar eerder dat hij slechts een middel is om een doel te bereiken.
Het is onbekend hoe de aanvallers erin slaagden de routers te infecteren met hun kwaadaardige besturingssysteem. Het is waarschijnlijk dat zij toegang kregen tot deze toestellen door ze te scannen op bekende kwetsbaarheden of zich te richten op toestellen die standaard of zwakke wachtwoorden gebruiken voor authenticatie. Deze bevindingen schetsen niet alleen een duidelijker beeld van de Camaro Dragon-groep en hun toolset, maar zijn ook van belang voor de bredere cyberbeveiligingsgemeenschap, en bieden cruciale kennis voor het begrijpen van en verdedigen tegen soortgelijke bedreigingen in de toekomst.
'Groot aantal toestellen en vendoren kunnen gevaar lopen'
“De ontdekking van deze kwaadaardige firmware geeft aan dat een groot aantal toestellen en vendoren gevaar kunnen lopen en benadrukt het belang van beschermende maatregelen tegen soortgelijke aanvallen.” licht Zahier Madhar, security engineer expert bij Check Point Software toe. “Ook een router die prima lijkt te werken, dient regelmatig gecontroleerd te worden. Bij elk product dat met het internet verbonden is, is het van belang om de firmware en software regelmatig bij te werken om kwetsbaarheden te voorkomen. Verder is het verstandig om de standaard inloggegevens van elk toestel dat met het internet is verbonden te veranderen in sterke wachtwoorden en waar mogelijk multi-factor authenticatie te gebruiken. Aanvallers scannen het internet vaak op zoek naar apparaten die nog standaard of zwakke referenties gebruiken.”
Meer informatie is hier beschikbaar.