Le dragon Camaro exploite les routeurs TP-Link
Check Point Research a publié un rapport sur les activités de Camaro Dragon, un groupe de menaces persistantes avancées (APT) parrainé par l'État chinois, qui utilisait un implant personnalisé pour compromettre un modèle spécifique de routeurs TP-Link.
Les chercheurs ont découvert un trésor de fichiers utilisés dans les attaques nuisibles de Camaro Dragon en examinant les techniques du groupe. Notamment, deux de ces fichiers étaient des images de micrologiciel TP-Link pour le modèle de routeur WR940, qui a été introduit pour la première fois en 2014. Ces fichiers d'implant ont clairement été utilisés dans le cadre d'un assaut ciblé visant en particulier les organisations européennes des affaires étrangères.
Check Point a découvert des modifications cruciales du système de fichiers en comparant méticuleusement les fichiers illégaux aux images authentiques du micrologiciel du routeur TP-Link WR940. Quatre fichiers ont été ajoutés au micrologiciel et deux fichiers existants ont été mis à jour pour exécuter parfaitement l'implant malveillant.
Les attaquants ont modifié le fichier SoftwareUpgradeRpm.htm, qui est un composant valide du micrologiciel auquel on peut accéder via l'interface web du routeur. La deuxième découverte concerne la falsification du fichier /etc/rc.d/rcS, qui fait partie des procédures de démarrage du système d'exploitation. Les auteurs de la menace ont inclus l'exécution de trois fichiers supplémentaires dans le système de fichiers du microprogramme, ce qui garantit la persistance de l'implant même après le redémarrage du système.
L'un des fichiers exécutés pendant la séquence de démarrage est /usr/bin/shell, qui agit comme un shell bind protégé par un mot de passe sur le port 14444. Cela signifie que pour accéder à l'interpréteur de commandes, il faut fournir le bon mot de passe. Un examen rapide du fichier a notamment permis de découvrir le mot de passe (J2)3#4G@Iie), qui était stocké en clair.
Un autre fichier intéressant, /usr/bin/timer, sert de couche supplémentaire de persistance pour les attaquants. Son seul objectif est de s'assurer que /usr/bin/udhcp reste opérationnel, ce dernier fichier servant d'implant principal. Baptisé Horse Shell par Check Point Research, le principal implant malveillant, /usr/bin/udhcp, fonctionne comme un démon en arrière-plan et offre aux attaquants trois fonctionnalités clés : des capacités de shell à distance, des capacités de transfert de fichiers et la création de tunnels.
En outre, le fichier /usr/bin/sheel joue un rôle crucial dans l'écriture et la lecture d'une configuration C2 (commande et contrôle), qu'il stocke dans une partition distincte de l'appareil compromis. En interagissant directement avec un périphérique bloqué, le fichier vise à échapper à la détection et à la vigilance des administrateurs.
Une fois exécuté, l'implant udhcp collecte et transmet activement divers points d'information à son serveur C2, notamment les noms de l'utilisateur et du système, la version et l'heure du système d'exploitation, l'architecture et le nombre de CPU, la RAM totale, les adresses IP et MAC, les fonctions de l'implant prises en charge (shell à distance, transfert de fichiers et tunneling) et le nombre de connexions actives.
Check Point Research suggère que l'inclusion de l'architecture du processeur et des fonctionnalités prises en charge dans les données transmises indique la possibilité que les attaquants disposent d'autres versions du logiciel malveillant adaptées à différents appareils et fonctionnalités.
Les sources de cet article comprennent un article de TechRepublic.