كشف الباحثون يوم الثلاثاء النقاب عن اكتشاف كبير – البرامج الثابتة الخبيثة التي يمكن أن تجادل مجموعة واسعة من أجهزة التوجيه السكنية والمكاتب الصغيرة في شبكة تنقل حركة المرور خلسة إلى خوادم القيادة والسيطرة التي يحتفظ بها قراصنة صينيون ترعاهم الدولة.
تحتوي غرسة البرامج الثابتة ، التي تم الكشف عنها في كتابة من Check Point Research ، على باب خلفي كامل الميزات يسمح للمهاجمين بإنشاء اتصالات ونقل الملفات باستخدام الأجهزة المصابة ، وإصدار الأوامر عن بُعد ، وتحميل الملفات وتنزيلها وحذفها. جاءت الغرسة في شكل صور برامج ثابتة لأجهزة توجيه TP-Link. ومع ذلك ، فإن كود C ++ المكتوب جيدًا يتطلب الكثير من الجهد لتنفيذ وظائفه بطريقة “غير محددة بالبرامج الثابتة” ، مما يعني أنه سيكون من السهل تعديله ليتم تشغيله على طرز أجهزة التوجيه الأخرى.
ليست الغايات ، فقط الوسائل
يبدو أن الغرض الرئيسي من البرنامج الضار هو نقل حركة المرور بين هدف مصاب وخوادم القيادة والسيطرة للمهاجمين بطريقة تحجب أصول ووجهات الاتصال. مع مزيد من التحليل ، اكتشفت Check Point Research في النهاية أن البنية التحتية للتحكم تم تشغيلها من قبل متسللين مرتبطين بـ Mustang Panda ، وهو ممثل تهديد مستمر متقدم تقول كل من شركتي Avast و ESET الأمنية إنه يعمل نيابة عن الحكومة الصينية.
كتب باحثو Check Point في كتاب قصير: “التعلم من التاريخ ، غالبًا ما يتم تثبيت أجهزة التوجيه المزروعة على أجهزة عشوائية دون أي اهتمام خاص ، بهدف إنشاء سلسلة من العقد بين الإصابات الرئيسية والقيادة والسيطرة الحقيقية”. “بعبارة أخرى ، لا تعني إصابة جهاز توجيه منزلي أن صاحب المنزل كان مستهدفًا على وجه التحديد ، بل يعني أنها ليست سوى وسيلة لتحقيق هدف.”
اكتشف الباحثون الزرع أثناء التحقيق في سلسلة من الهجمات المستهدفة ضد كيانات الشؤون الخارجية الأوروبية. المكون الرئيسي هو باب خلفي يحمل الاسم الداخلي Horse Shell. الوظائف الرئيسية الثلاث لشل الحصان هي:
- قذيفة بعيدة لتنفيذ الأوامر على الجهاز المصاب
- نقل الملفات لتحميل الملفات وتنزيلها من وإلى الجهاز المصاب
- تبادل البيانات بين جهازين باستخدام SOCKS5 ، وهو بروتوكول لتوصيل وصلات TCP إلى عنوان IP عشوائي وتوفير وسيلة لإعادة توجيه حزم UDP.
يبدو أن وظيفة SOCKS5 هي الهدف النهائي للزرع. من خلال إنشاء سلسلة من الأجهزة المصابة التي تنشئ اتصالات مشفرة مع أقرب عقدتين فقط (واحدة في كل اتجاه) ، يصعب على أي شخص يتعثر على أحدهما معرفة الأصل أو الوجهة النهائية أو الغرض الحقيقي من الإصابة. كما كتب باحثو Check Point:
يمكن للزرع أن ينقل الاتصال بين عقدتين. من خلال القيام بذلك ، يمكن للمهاجمين إنشاء سلسلة من العقد التي ستنقل حركة المرور إلى خادم القيادة والتحكم. من خلال القيام بذلك ، يمكن للمهاجمين إخفاء الأمر والتحكم النهائيين ، حيث أن كل عقدة في السلسلة تحتوي على معلومات فقط عن العقد السابقة والتالية ، كل عقدة هي جهاز مصاب. فقط عدد قليل من العقد ستعرف هوية القيادة والسيطرة النهائية.
باستخدام طبقات متعددة من العقد لنفق الاتصال ، يمكن لممثلي التهديد إخفاء مصدر ووجهة حركة المرور ، مما يجعل من الصعب على المدافعين تتبع حركة المرور إلى C2. هذا يجعل من الصعب على المدافعين اكتشاف الهجوم والرد عليه.
بالإضافة إلى ذلك ، فإن سلسلة من العقد المصابة تجعل من الصعب على المدافعين تعطيل الاتصال بين المهاجم و C2. إذا تم اختراق عقدة واحدة في السلسلة أو إزالتها ، فلا يزال بإمكان المهاجم الحفاظ على الاتصال مع C2 عن طريق توجيه حركة المرور عبر عقدة مختلفة في السلسلة.
