Camaro Dragon nutzt TP-Link-Router aus
Check Point Research veröffentlichte einen Bericht über die Aktivitäten von Camaro Dragon, einer vom chinesischen Staat gesponserten APT-Gruppe (Advanced Persistent Threat), die ein spezielles Implantat verwendete, um ein bestimmtes Modell von TP-Link-Routern zu kompromittieren.
Bei der Untersuchung der Techniken von Camaro Dragon entdeckten die Forscher eine Fülle von Dateien, die bei den schädlichen Angriffen der Gruppe verwendet wurden. Bei zwei dieser Dateien handelte es sich um Firmware-Images von TP-Link für das Routermodell WR940, das erstmals 2014 eingeführt wurde. Diese Implantatdateien wurden eindeutig für einen gezielten Angriff verwendet, der sich insbesondere gegen europäische Organisationen für auswärtige Angelegenheiten richtete.
Check Point entdeckte entscheidende Änderungen am Dateisystem, indem es illegale Dateien sorgfältig mit authentischen Firmware-Images für den TP-Link WR940-Router verglich. Vier Dateien wurden der Firmware hinzugefügt, und zwei bestehende Dateien wurden aktualisiert, um das bösartige Implantat einwandfrei auszuführen.
Die Angreifer änderten die Datei SoftwareUpgradeRpm.htm, die eine gültige Komponente der Firmware ist, auf die über die Weboberfläche des Routers zugegriffen werden kann. Da die geänderte Version die Option zur Firmware-Aktualisierung im Wesentlichen ausblendet, können Administratoren keine manuellen Upgrades durchführen. Der zweite Befund betrifft die Manipulation der Datei /etc/rc.d/rcS, die Teil der Startprozeduren des Betriebssystems ist. Die Bedrohungsakteure führten drei zusätzliche Dateien im Dateisystem der Firmware aus, so dass das Implantat auch nach einem Neustart des Systems erhalten blieb.
Eine der Dateien, die während der Boot-Sequenz ausgeführt wird, ist /usr/bin/shell, die als passwortgeschützte Bind-Shell auf Port 14444 fungiert. Das bedeutet, dass für den Zugriff auf die Shell das richtige Kennwort eingegeben werden muss. Eine schnelle Untersuchung der Datei brachte das Passwort (J2)3#4G@Iie) zutage, das im Klartext gespeichert war.
Eine weitere Datei von Interesse, /usr/bin/timer, dient den Angreifern als zusätzliche Ebene der Persistenz. Ihr einziger Zweck ist es, sicherzustellen, dass /usr/bin/udhcp funktionsfähig bleibt, wobei die letztgenannte Datei als Hauptimplantat dient. Das von Check Point Research als Horse Shell bezeichnete Hauptimplantat, /usr/bin/udhcp, arbeitet als Daemon im Hintergrund und bietet den Angreifern drei wichtige Funktionen: Remote-Shell-Fähigkeiten, Dateiübertragung und Tunneling.
Darüber hinaus spielt die Datei /usr/bin/sheel eine entscheidende Rolle beim Schreiben und Lesen einer C2-Konfiguration (Command-and-Control), die sie in einer separaten Partition des kompromittierten Geräts speichert. Durch die direkte Interaktion mit einem Blockgerät zielt die Datei darauf ab, sich der Entdeckung zu entziehen und der Aufmerksamkeit der Administratoren zu entgehen.
Nach der Ausführung sammelt das udhcp-Implantat aktiv verschiedene Datenpunkte und überträgt sie an seinen C2-Server, darunter Benutzer- und Systemnamen, Betriebssystemversion und -zeit, CPU-Architektur und -Anzahl, Gesamtspeicher, IP- und MAC-Adressen, unterstützte Implantatfunktionen (Remote Shell, Dateiübertragung und Tunneling) sowie die Anzahl der aktiven Verbindungen.
Check Point Research weist darauf hin, dass die Angabe der CPU-Architektur und der unterstützten Funktionen in den übermittelten Daten darauf hindeutet, dass die Angreifer möglicherweise über weitere Versionen der Malware verfügen, die auf verschiedene Geräte und Funktionen zugeschnitten sind.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TechRepublic.