اختراق راوترات TP-Link عبر فايروس صيني جديد من تصميم شركة القرصنة الصينية “كامارو دراجون” يظهر في صورة تحديثات لايقاع الضحايا.
اختراق راوترات TP-Link
كشف موقع informationsecurity عن هجوم منظم من شركة القرصنة الصينية “كامارو دراجون” التي ترعاها الدولة على أجهزة راوترات TP-Link المنزلية ببرامج ضارة مخصصة من نوع “Horse Shell”.
يستخدم المتسللون فيروسات في البرامج الثابتة المخصصة لأجهزة توجيه TP-Link لإطلاق هجمات من الشبكات المنزلية تستهدف ضحاياها حول العالم.
ووفقًا للبحث الذي أصدرته مؤسسة Check Point ، فإن هذا الهجوم عبر فايروس صيني جديد يستهدف الشبكات السكنية والمنزلية، وليس الشبكات المهمة.
وبالتالي، فإن إصابة جهاز توجيه منزلي لا تشير دائمًا إلى أن صاحب المنزل كان هدفًا ، بل تشير إلى أن المهاجمين استخدموه كأداة للهجوم على ضحايا آخرين.
يتيح البرنامج لممثلي التهديد تشغيل أوامر shell وتحميل البيانات وتنزيلها واستخدام الجهاز كوسيط SOCKS للتواصل بين الأجهزة التى يتم السيطرة عليها.
اكتشاف اختراق راوترات TP-Link في يناير الماضي
حدّدت Check Point Research اختراق البرامج الثابتة Horse Shell TP-Link في يناير 2023، وتشير إلى أن سلوك المتسللين يتوافق مع مجموعة القرصنة الصينية “Mustang Panda” التي تم الكشف عنها مؤخرًا في منشورات Avast و ESET.
تطلق Check Point على مجموعة الأنشطة هذه اسم “Camaro Dragon” على الرغم من تشابهها مع Mustang Panda.
عناوين الـIP للمهاجمين، والطلبات التي تحتوي على الـ HTTP ذات الترميز الثابت تم العثور عليها في العديد من مواقع الويب الصينية، والعديد من الأخطاء في الشفرة الثنائية تشير إلى أن مصمم الفايروس ليس متحدثًا أصليًا للغة الإنجليزية.
تعتقد Check Point أن المهاجمين يصيبون أجهزة توجيه TP-Link بصورة البرامج الثابتة الضارة من خلال استغلال ثغرة أمنية وايهام الضحايا بضرورة القيام بتحديثات أمنية.
يمكن لممثلي التهديدات ترقية الجهاز عن بُعد باستخدام البرامج الثابتة المخصصة بعد الحصول على وصول المسؤول إلى الواجهة الإدارية.
تعرف على البرمجيات الخبيثة التى تدمر حسابات أصدقائك على “واتساب” من هنا
حددت Check Point صورتين للبرامج الثابتة لجهاز التوجيه TP-Link مع تعديلات كبيرة وإضافات للملفات.
اكتشف Check Point أجزاء متطابقة من ثغرة kernel و uBoot في البرنامج الثابت لأجهزة استقبال TP-Link المصابة.
استخدمت البرامج الثابتة نظام ملفات SquashFS معدلًا مع مكونات برمجيات خبيثة مستترية من Horse Shell.
“تقول Check Point أن الثغرة توفر تحكم كامل في الاجهزة عن بعد ، ونقل الملفات ،والتخفي بشكل لايمكن اكتشافه بسهولة.
يقول الباحثون إن الفايروس لا يعتمد على البرامج الثابتة التى يتم اضافتها في اجهزة الضحايا وقد تعمل في صور برامج تستغل أجهزة التوجيه الأخرى.
عادةً ما يستهدف المتسللون الذين ترعاهم الحكومات أجهزة التوجيه غير الآمنة ، والتي تستخدمها شبكات الروبوت لهجمات DDoS والتعدين المشفر.
يتم تجاهل أجهزة التوجيه في بعض الأحيان أثناء إنشاء إجراءات أمنية ويمكن أن تكون بمثابة منصة إطلاق خفية للهجمات ، وإخفاء أصل المهاجم.
ماذا يجب أن يفعل أصحاب اجهزة الراوتر للحماية ؟
يجب على المستخدمين تحديث البرامج الثابتة لجهاز التوجيه الخاص بهم من الموقع الرسمي لـ TP-Link، وتغيير كلمة مرور الافتراضية، والأهم من ذلك، تقييد الوصول إلى لوحة تحكم الجهاز على الشبكة المحلية.
جدير بالذكر أن قراصنة صينيون قاموا بزرع أجهزة توجيه Fortinet VPN و SonicWall SMA ببرامج ثابتة معدلة.
في الآونة الأخيرة ، أفاد مركز NCSC البريطاني و CISA الأمريكي لأمن المعلومات أن الجهات الفاعلة المهددة التي ترعاها الدولة الروسية كانت تصل أيضًا إلى أجهزة توجيه Cisco لتثبيت برامج ضارة مسجلة الملكية.
يمكن لممثلي التهديدات استغلال هذه الأجهزة بدون حلول الأمان لسرقة البيانات، والانتشار بشكل جانبي ، وشن المزيد من الهجمات دون إشعار.
قال تشارلز كارماكال ، مدير التكنولوجيا في Mandiant ، لـ BleepingComputer: “هناك موضوع متكرر وهو التركيز على التجسس السيبراني المستمر من الصينيون على العالم عبر أدوات متعددة أبرزها أجهزة إنترنت الأشياء ، وما إلى ذلك التي لا تدعم حلول EDR”.
يجب على مسؤولي الشبكات تطبيق جميع تصحيحات الأمان على الأجهزة المتطورة على الفور وعدم الكشف علنًا عن وحدات التحكم الإدارية.