Китайские хакеры взламывают роутеры TP-Link. С начала января | TESTLAND - overbafer1
Китайские хакеры взламывают роутеры TP-Link.
С начала января 2023 года Китайские хакеры из Mustang Panda провели серию целенаправленных атак на европейские внешнеполитические ведомства. В ходе анализа этих атак был обнаружен специальный имплант, разработанный для прошивок маршрутизаторов TP-Link.
Имплант содержит несколько вредоносных компонентов, включая бэкдор Horse Shell, который позволяет злоумышленникам получить постоянный доступ, создавать анонимную инфраструктуру и перемещаться внутри скомпрометированной сети.
Точный метод, используемый для внедрения вредоносных прошивок на маршрутизаторах, пока неизвестен. Специалисты предполагают, что доступ мог быть получен путем использования известных уязвимостей или перебора стандартных и слабых паролей.
Horse Shell, основанный на C++, предоставляет злоумышленникам полный контроль над устройством. Позволяет выполнять произвольные шелл-команды, загружать и передавать файлы на маршрутизатор, а также передавать данные между клиентами. Взломанная прошивка скрывает возможность изменения прошивки через веб-интерфейс роутера, что делает ее незаметной.
Зараженные маршрутизаторы могут объединяться в mesh-сеть, создавая цепочку промежуточных узлов между основными зараженными целями и реальными серверами управления.
Для передачи сообщений между зараженными маршрутизаторами используется туннель SOCKS, который добавляет дополнительный уровень анонимности и скрывает конечный сервер. Каждый узел в цепочке знает только о предыдущем и следующем узле, что позволяет скрыть происхождение и назначение трафика, как в сети Tor.
