Ngày 16 tháng 5 năm 2023Ravie LakshmananAn ninh mạng / Mối đe dọa Intel
Diễn viên quốc dân Trung Quốc được gọi là Gấu trúc Mustang đã được liên kết với một loạt các cuộc tấn công tinh vi và có mục tiêu mới nhằm vào các cơ quan đối ngoại của châu Âu kể từ tháng 1 năm 2023.
Theo các nhà nghiên cứu của Check Point, Itay Cohen và Radoslaw Madej, một phân tích về những vụ xâm nhập này đã tiết lộ một bộ cấy phần sụn tùy chỉnh được thiết kế rõ ràng cho các bộ định tuyến TP-Link.
Công ty cho biết: “Bộ cấy có một số thành phần độc hại, bao gồm một cửa hậu tùy chỉnh có tên ‘Horse Shell' cho phép kẻ tấn công duy trì quyền truy cập liên tục, xây dựng cơ sở hạ tầng ẩn danh và cho phép di chuyển ngang vào các mạng bị xâm nhập”.
“Do thiết kế không liên quan đến phần sụn, các thành phần của bộ cấy ghép có thể được tích hợp vào nhiều phần sụn khác nhau bởi các nhà cung cấp khác nhau.”
Công ty an ninh mạng của Israel đang theo dõi nhóm đe dọa có tên Camaro Dragon, còn được gọi là BASIN, Chủ tịch đồng, Earth Preta, HoneyMyte, RedDelta và Red Lich.
Phương pháp chính xác được sử dụng để triển khai các hình ảnh phần sụn giả mạo trên các bộ định tuyến bị nhiễm hiện chưa được biết, cũng như cách sử dụng và sự tham gia của nó trong các cuộc tấn công thực tế. Người ta nghi ngờ rằng quyền truy cập ban đầu có thể đã có được bằng cách khai thác các lỗ hổng bảo mật đã biết hoặc các thiết bị cưỡng bức có mật khẩu mặc định hoặc dễ đoán.
Những gì được biết là bộ cấy Horse Shell dựa trên C++ cung cấp cho kẻ tấn công khả năng thực thi các lệnh shell tùy ý, tải lên và tải xuống các tệp đến và từ bộ định tuyến cũng như chuyển tiếp liên lạc giữa hai máy khách khác nhau.
Nhưng trong một bước ngoặt thú vị, cửa hậu của bộ định tuyến được cho là nhắm mục tiêu vào các thiết bị tùy ý trên mạng dân dụng và mạng gia đình, cho thấy rằng các bộ định tuyến bị xâm nhập đang được đồng chọn vào một mạng lưới với mục tiêu tạo ra một “chuỗi nút giữa các phần mềm lây nhiễm chính và phần mềm thực tế”. chỉ huy và kiểm soát.”
Khi chuyển tiếp liên lạc giữa các bộ định tuyến bị nhiễm bằng cách sử dụng đường hầm SOCKS, ý tưởng là giới thiệu một lớp ẩn danh bổ sung và che giấu máy chủ cuối cùng, vì mỗi nút trong chuỗi chỉ chứa thông tin về các nút trước và sau nó.
Nói cách khác, các phương pháp che khuất nguồn gốc và đích đến của lưu lượng truy cập theo cách tương tự như TOR, khiến việc phát hiện phạm vi tấn công và phá vỡ nó trở nên khó khăn hơn rất nhiều.
Các nhà nghiên cứu giải thích: “Nếu một nút trong chuỗi bị xâm phạm hoặc gỡ xuống, kẻ tấn công vẫn có thể duy trì liên lạc với C2 bằng cách định tuyến lưu lượng truy cập qua một nút khác trong chuỗi”.
Điều đó nói rằng, đây không phải là lần đầu tiên các tác nhân đe dọa có liên quan đến Trung Quốc dựa vào một mạng lưới các bộ định tuyến bị xâm phạm để đáp ứng các mục tiêu chiến lược của họ.
Vào năm 2021, Cơ quan An ninh mạng Quốc gia của Pháp (ANSSI) đã trình bày chi tiết về một nhóm xâm nhập do APT31 (hay còn gọi là Judgement Panda hoặc Violet Typhoon) dàn dựng nhằm tận dụng một phần mềm độc hại nâng cao có tên là Pakdoor (hoặc SoWat) để cho phép các bộ định tuyến bị nhiễm giao tiếp với từng bộ định tuyến. khác.
Các nhà nghiên cứu cho biết: “Phát hiện này là một ví dụ khác về xu hướng lâu dài của các tác nhân đe dọa Trung Quốc nhằm khai thác các thiết bị mạng kết nối internet và sửa đổi phần mềm hoặc chương trình cơ sở của chúng”.
