محققان روز سه‌شنبه از یک کشف بزرگ پرده‌برداری کردند: سیستم‌افزار مخربی که می‌تواند طیف وسیعی از روترهای مسکونی و اداری کوچک را به شبکه‌ای وارد کند که به‌طور مخفیانه ترافیک را به سرورهای فرماندهی و کنترلی که توسط هکرهای تحت حمایت دولت چین نگهداری می‌شوند، انتقال می‌دهد.

یک سفت‌افزار که در نوشته‌ای از Check Point Research نشان داده شده است، حاوی یک درب پشتی با امکانات کامل است که به مهاجمان اجازه می‌دهد تا ارتباطات و انتقال فایل‌ها را با دستگاه‌های آلوده برقرار کنند، از راه دور دستورات صادر کنند و فایل‌ها را آپلود، دانلود و حذف کنند. ایمپلنت به شکل تصاویر سفت‌افزار برای روترهای TP-Link ارائه شد. با این حال، کد C++ که به خوبی نوشته شده بود، برای پیاده‌سازی عملکرد خود به شیوه‌ای «معمولاً سفت‌افزار» زحمت کشید، به این معنی که تغییر آن برای اجرا در سایر مدل‌های روتر، امری بی‌اهمیت است.

نه هدف، فقط وسیله

به نظر می رسد هدف اصلی این بدافزار انتقال ترافیک بین یک هدف آلوده و سرورهای فرمان و کنترل مهاجمان است به گونه ای که مبدا و مقصد ارتباط را پنهان می کند. با تجزیه و تحلیل بیشتر، چک پوینت ریسرچ در نهایت متوجه شد که زیرساخت کنترل توسط هکرهای مرتبط با موستانگ پاندا، یک عامل تهدید دائمی پیشرفته که هر دو شرکت امنیتی Avast و ESET می گویند از طرف دولت چین کار می کند، اداره می شود.

محققان Check Point در گزارش کوتاه‌تری نوشتند: «با یادگیری از تاریخچه، ایمپلنت‌های روتر اغلب بر روی دستگاه‌های دلخواه و بدون علاقه خاصی نصب می‌شوند، با هدف ایجاد زنجیره‌ای از گره‌ها بین عفونت‌های اصلی و فرمان و کنترل واقعی». به عبارت دیگر، آلوده کردن یک روتر خانگی به این معنی نیست که صاحب خانه به طور خاص هدف قرار گرفته است، بلکه به این معنی است که آنها فقط وسیله ای برای رسیدن به یک هدف هستند.

محققان این ایمپلنت را در حین بررسی مجموعه ای از حملات هدفمند علیه نهادهای روابط خارجی اروپایی کشف کردند. جزء اصلی یک درب پشتی با نام داخلی Horse Shell است. سه عملکرد اصلی Horse Shell عبارتند از:

• یک پوسته از راه دور برای اجرای دستورات در دستگاه آلوده
• انتقال فایل برای آپلود و دانلود فایل به و از دستگاه آلوده
• تبادل داده بین دو دستگاه با استفاده از SOCKS5، پروتکلی برای پروکسی کردن اتصالات TCP به یک آدرس IP دلخواه و ارائه ابزاری برای ارسال بسته‌های UDP.

به نظر می رسد عملکرد SOCKS5 هدف نهایی ایمپلنت باشد. با ایجاد زنجیره ای از دستگاه های آلوده که اتصالات رمزگذاری شده را تنها با نزدیک ترین دو گره (یکی در هر جهت) برقرار می کند، برای هر کسی که تصادفاً به یکی از آنها برخورد می کند، درک مبدا یا مقصد نهایی یا هدف واقعی عفونت دشوار است. همانطور که محققان Check Point نوشتند:

ایمپلنت می تواند ارتباط بین دو گره را رله کند. با انجام این کار، مهاجمان می توانند زنجیره ای از گره ها را ایجاد کنند که ترافیک را به سرور فرمان و کنترل منتقل می کند. با انجام این کار، مهاجمان می توانند فرمان و کنترل نهایی را مخفی کنند، زیرا هر گره در زنجیره فقط اطلاعات مربوط به گره های قبلی و بعدی را دارد، هر گره یک دستگاه آلوده است. تنها تعداد انگشت شماری از گره ها هویت فرمان و کنترل نهایی را می دانند.

با استفاده از چندین لایه از گره ها برای تونل کردن ارتباطات، عوامل تهدید می توانند مبدأ و مقصد ترافیک را پنهان کنند و ردیابی ترافیک به C2 را برای مدافعان دشوار می کند. این امر تشخیص و پاسخ به حمله را برای مدافعان دشوارتر می کند.

علاوه بر این، زنجیره ای از گره های آلوده باعث می شود که مدافعان نتوانند ارتباط بین مهاجم و C2 را مختل کنند. اگر یک گره در زنجیره به خطر بیفتد یا از بین برود، مهاجم همچنان می تواند با مسیریابی ترافیک از طریق یک گره دیگر در زنجیره، ارتباط خود را با C2 حفظ کند.

VPNFilter، ZuroRat و Hiatus را به خاطر دارید؟

استفاده از روترها و سایر دستگاه‌های به اصطلاح اینترنت اشیا برای پنهان کردن سرورهای کنترلی و ترافیک مخفیانه پروکسی یکی از قدیمی‌ترین ترفندها در تجارت عامل تهدید است. در میان نمونه های شناخته شده دیگر کمپین های هک که این صفحه را از playbook قرض گرفته اند، می توان به یکی از نمونه های کشف شده در سال 2018 اشاره کرد که از VPNFilter استفاده می کرد. این بدافزار توسط APT28 با پشتیبانی کرملین (همچنین به عنوان Fancy Bear شناخته می شود) ایجاد شده و بیش از 500000 دستگاه شبکه ساخته شده توسط Linksys، Mikrotik، Netgear، TP-Link و QNAP را آلوده کرده است. VPNFilter توابع مختلفی را ارائه می‌کند که اصلی‌ترین آنها توسط یک ماژول “socks5proxy” فعال شده بود که دستگاه در معرض خطر را به یک سرور پروکسی شبکه خصوصی مجازی SOCKS5 تبدیل کرد. نمونه‌های مشابه شامل بدافزاری به نام ZuoRAT است که سال گذشته کشف شد و تعداد زیادی از روترهای ساخته‌شده توسط Cisco، Netgear، Asus و DrayTek را آلوده کرد. در اوایل سال جاری، محققان Hiatus را کشف کردند، یک کمپین هک پیچیده که مسیریاب‌های پهنای باند بالا را از پروکسی‌های سازنده DrayTek SOCKS تبدیل می‌کرد.

محققان Check Point هنوز نمی دانند که ایمپلنت مخرب چگونه روی دستگاه ها نصب می شود. یک شرط احتمالی این است که عوامل تهدید یا از آسیب‌پذیری‌های موجود در دستگاه‌ها سوء استفاده می‌کنند یا در اینترنت به دنبال دستگاه‌هایی می‌گردند که با گذرواژه‌های مدیریتی ضعیف یا پیش‌فرض محافظت می‌شوند.

در حالی که تنها تصویر سفت‌افزاری که تاکنون کشف شده است، فقط بر روی دستگاه‌های TP-Link اجرا می‌شود، هیچ چیز مانع از ایجاد تصاویری که روی طیف وسیع‌تری از سخت‌افزار اجرا می‌شوند، عاملان تهدید کننده را ندارند. این قابلیت cross-platform از معماران ایمپلنت ناشی می شود که چندین کتابخانه منبع باز را در کد خود ادغام می کنند. کتابخانه ها شامل Telnet برای پوسته راه دور، libev برای مدیریت رویدادها، libbase32 برای رمزگذاری و رمزگشایی داده های باینری base32، و لیستی از کانتینرها که بر اساس لیست هوشمند TOR هستند.

سایر الهامات ممکن است از پروژه‌هایی از جمله سرور Shadowsocks-libev و تونل UDP udptun گرفته شده باشد. هدرهای HTTP استفاده شده از مخازن منبع باز گرفته شده است.

محققان نوشتند: “قطعات کاشته شده در تصاویر سیستم عامل TP-Link اصلاح شده کشف شد.” با این حال، آنها به روشی مبتنی بر سیستم عامل نوشته شده اند و مختص هیچ محصول یا فروشنده خاصی نیستند. در نتیجه، آنها می توانند توسط فروشندگان مختلف در میان افزارهای مختلف گنجانده شوند.