Sicherheitslücke

Check Point enttarnt bösartige Firmware für TP-Link-Router

Check Point enttarnt bösartige Firmware für TP-Link-Router

Kürzlich untersuchte Check Point Research (CPR) eine Reihe von gezielten Cyberangriffen auf europäische Einrichtungen für auswärtige Angelegenheiten und führte sie auf eine vom chinesischen Staat gesponserte APT-Gruppe zurück, die von CPR als „Camaro Dragon“ bezeichnet wird. Diese Aktivitäten weisen erhebliche infrastrukturelle Überschneidungen mit Aktivitäten auf, die öffentlich mit „Mustang Panda“ in Verbindung gebracht werden. Die Sicherheitsforscher entdeckten ein bösartiges Firmware-Implantat, das für TP-Link-Router erstellt wurde und verschiedene schädliche Komponenten enthält, darunter eine angepasste Backdoor namens „Horse Shell“. Die Backdoor ermöglichte es Angreifern, die volle Kontrolle über das infizierte Gerät zu übernehmen, unentdeckt zu bleiben und auf kompromittierte Netzwerke zuzugreifen. Eine gründliche Analyse von CPR hat diese bösartigen Taktiken aufgedeckt und bietet eine detaillierte Analyse.

Dieser Beitrag beschäftigt sich mit den komplexen Details der Analyse des „Horse Shell“-Router-Implantats, Erkenntnisse über die Funktionsweise des Implantats mitteilen und es mit anderen Router-Implantaten vergleichen, die mit anderen vom chinesischen Staat gesponserten Gruppen in Verbindung gebracht werden. Durch die Untersuchung dieses Implantats soll Licht in die Techniken und Taktiken der APT-Gruppe gebracht werden, um ein besseres Verständnis dafür zu entwickeln, wie Bedrohungsakteure bösartige Firmware-Implantate in Netzwerkgeräten für ihre Angriffe nutzen.

Die Attacke

Die Untersuchung der „Camaro Dragon“-Aktivitäten bezog sich auf eine Kampagne, die hauptsächlich auf europäische Einrichtungen für auswärtige Angelegenheiten abzielte. Obwohl Horse Shell auf der angreifenden Infrastruktur gefunden wurde, ist unklar, wer die Opfer des Router-Implantats sind. Aus der Vergangenheit ist bekannt, dass Router-Implantate oft auf beliebigen Geräten ohne besonderes Interesse installiert werden, um eine Verbindung zwischen den Hauptinfektionen und der eigentlichen Befehls- und Kontrollfunktion zu schaffen. Mit anderen Worten: Die Infizierung eines Heimrouters bedeutet nicht, dass der Hausbesitzer gezielt angegriffen wurde, sondern dass er nur ein Mittel zum Zweck ist.

Schutz für das Netzwerk

Die Entdeckung des bösartigen Implantats von Camaro Dragon für TP-Link-Router zeigt, wie wichtig es ist, Schutzmaßnahmen gegen ähnliche Angriffe zu ergreifen. Hier sind einige Empfehlungen zur Erkennung und zum Schutz:

  • Software-Aktualisierungen: Regelmäßige Aktualisierungen der Firmware und Software von Routern und anderen Geräten sind entscheidend, um Schwachstellen zu verhindern, die Angreifer ausnutzen könnten.
  • Standard-Anmeldeinformationen: Ändern Sie die Standard-Anmeldedaten für alle Geräte, die mit dem Internet verbunden sind, in sichere Passwörter und verwenden Sie, wann immer möglich, mehrstufige Authentifizierung. Angreifer scannen das Internet häufig nach Geräten, die noch Standard- oder schwache Anmeldedaten verwenden.
  • Verwenden von Check Point-Produkten: Die Netzwerksicherheitslösungen von Check Point bieten fortschrittliche Bedrohungsabwehr und Netzwerkschutz in Echtzeit gegen ausgeklügelte Angriffe, wie sie von der Camaro Dragon APT-Gruppe verwendet werden. Dazu gehört der Schutz vor Exploits, Malware und anderen hochentwickelten Bedrohungen. Quantum IoT Protect von Check Point identifiziert und kartiert automatisch IoT-Geräte und bewertet das Risiko, verhindert mit Zero-Trust-Profiling und -Segmentierung den unbefugten Zugriff auf und von IoT/OT-Geräten und blockiert Angriffe auf IoT-Geräte.

Hersteller können ihre Geräte besser vor Malware und Cyberangriffen schützen. Vorschriften wie die EU Machinery Directive verlangen von Anbietern und Herstellern, dass sie sicherstellen, dass die Geräte keine Risiken für die Benutzer darstellen und dass sie Sicherheitsfunktionen in die Geräte integrieren.

Check Point IoT Embedded mit Nano Agent® bietet einen Laufzeitschutz auf dem Gerät, der vernetzte Geräte mit integrierter Firmware-Sicherheit ermöglicht. Der Nano Agent® ist ein maßgeschneidertes Paket, das die besten Sicherheitsfunktionen bietet und bösartige Aktivitäten auf Routern, Netzwerkgeräten und anderen IoT-Geräten verhindert. Check Point IoT Nano Agent® verfügt über fortschrittliche Funktionen wie Speicherschutz, Anomalieerkennung und Kontrollflussintegrität.