Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Chińskie grupy hackerskie wykorzystują do ataków globalną sieć zbackdoorowanych routerów domowych TP-linka

17 maja 2023, 16:02 | W biegu | komentarzy 8
Tagi: ,

Zbackdoorowany TP-link wygląda prawie tak samo jak niezbackdorowany TP-link ;) Mniej enigmatycznie – badacze z Checkpointa przeanalizowali podstawione firmware-y, które różniły się od tych prawdziwych niewielkimi detalami.

Tzn. od strony bezpieczeństwa detale te są dość znaczące – możliwość zdalnego dostępu przez atakujących na urządzenie (dostęp root) czy możliwość przepuszczania komunikacji przez urządzenia (proxy SOCKS).

Od strony użytkownika widoczne są np. takie zmiany – ekran z upgradem firmware został „zablokowany” (stosowny formularz został wyłączony na poziomie CSS):

Źródło: Checkpoint
Wersja urządzenia z backdoorem

Całość operacji ma służyć przede wszystkim zbudowaniu dużej sieci, przez którą będzie można tunelować ruch (ataki), w sposób który znacznie utrudni wyśledzenie adresów IP realnych atakujących (kto będzie poddawał analizie śledczej domowe routerki?).

Checkpoint przypisuje działalność chińskiej grupie APT Camaro Dragon, z kolei jako aktualne cele grupy wskazane są m.in. ministerstwa spraw zagranicznych krajów europejskich.

Jak „implant” dostaje się do urządzeń? Raczej używane są tutaj standardowe techniki – urządzenie wystawione do Internetu (tj. jego panel administracyjny) i „standardowe” podatności takie jak np. ta. Czasem jest jeszcze prościej (pozostawienie domyślnego loginu / hasła do panelu administracyjnego urządzenia).

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. osintowiec

    A co to takiego: patrzę mam nieodebrane połączenie od…siebie samego?! Pegasus itp.?

    Odpowiedz
    • Hhdf

      Poczta głosowa Einsteinie

      Odpowiedz
      • osintowiec

        Poczytaj sobie Hhdf np. na satelitarnecyfrowe.pl, Dzwoni do mnie mój numer! – dlaczego telefon dzwoni sam do siebie? Przyczyny i rozwiązania, a potem uruchom szare takie coś w tym na szyi.
        Coś co wygląda pozornie może być dla zmylenia….

        Odpowiedz
    • To on

      Adam, on zawsze jak dzwoni to wygląda jakbyś dzwonił do samego siebie

      Odpowiedz
      • osintowiec

        Liczyłem na bardziej etyczno-hackingowy opis-odpowiedź.

        Odpowiedz
        • KONDZiO102

          To ta sama sztuczka co spoofing

          Odpowiedz
  2. Tomek

    Dobrze rozumiem że na początek trzeba dostać się do sieci lokalnej, no bo w sumie nie wiem poco miałby ktoś wystawiac konsolkę GUI na zew, poprawcie mnie jeśli się mylę bo się zaciekawiłem

    Odpowiedz
    • Łukasz

      UPnP jest tu problemem i jego domyślne włączenie na routerach soho. Obejść to łatwo, z resztą jeżeli zmapowany jest standard np 80 lub 8080 to co stoi na przeszkodzie aby wywołać GUI.

      Odpowiedz

Odpowiedz