.
Pesquisadores revelaram na terça-feira uma grande descoberta – firmware malicioso que pode colocar uma ampla gama de roteadores residenciais e de pequenos escritórios em uma rede que retransmite furtivamente o tráfego para servidores de comando e controle mantidos por hackers patrocinados pelo estado chinês.
Um implante de firmware, revelado em um artigo da Check Point Research, contém um backdoor completo que permite que os invasores estabeleçam comunicações e transferências de arquivos com dispositivos infectados, emitam comandos remotamente e carreguem, baixem e excluam arquivos. O implante veio na forma de imagens de firmware para roteadores TP-Link. O código C++ bem escrito, no entanto, esforçou-se para implementar sua funcionalidade de maneira “independente de firmware”, o que significa que seria trivial modificá-lo para rodar em outros modelos de roteador.
Não os fins, apenas os meios
O principal objetivo do malware parece retransmitir o tráfego entre um alvo infectado e os servidores de comando e controle dos invasores de uma forma que obscurece as origens e os destinos da comunicação. Com uma análise mais aprofundada, a Check Point Research acabou descobrindo que a infraestrutura de controle era operada por hackers ligados ao Mustang Panda, um agente de ameaça persistente avançado que as empresas de segurança Locaweb e ESET dizem trabalhar em nome do governo chinês.
“Aprendendo com a história, os implantes de roteadores são frequentemente instalados em dispositivos arbitrários sem nenhum interesse particular, com o objetivo de criar uma cadeia de nós entre as principais infecções e o comando e controle reais”, escreveram os pesquisadores da Check Point em um artigo mais curto. “Em outras palavras, infectar um roteador doméstico não significa que o proprietário foi especificamente visado, mas sim que ele é apenas um meio para atingir um objetivo”.
Os pesquisadores descobriram o implante enquanto investigavam uma série de ataques direcionados contra entidades europeias de relações exteriores. O principal componente é um backdoor com o nome interno Horse Shell. As três principais funções do Horse Shell são:
- Um shell remoto para executar comandos no dispositivo infectado
- Transferência de arquivos para upload e download de arquivos de e para o dispositivo infectado
- A troca de dados entre dois dispositivos usando SOCKS5, um protocolo para fazer proxy de conexões TCP para um endereço IP arbitrário e fornecer um meio para que os pacotes UDP sejam encaminhados.
A funcionalidade do SOCKS5 parece ser o objetivo final do implante. Ao criar uma cadeia de dispositivos infectados que estabelecem conexões criptografadas apenas com os dois nós mais próximos (um em cada direção), é difícil para quem se depara com um deles saber a origem ou destino final ou o verdadeiro propósito da infecção. Como os pesquisadores da Check Point escreveram:
O implante pode retransmitir a comunicação entre dois nós. Ao fazer isso, os invasores podem criar uma cadeia de nós que retransmitirá o tráfego para o servidor de comando e controle. Ao fazer isso, os invasores podem ocultar o comando e controle final, pois cada nó da cadeia possui informações apenas sobre os nós anteriores e posteriores, sendo cada nó um dispositivo infectado. Apenas um punhado de nós saberá a identidade do comando e controle final.
Ao usar várias camadas de nós para encapsular a comunicação, os agentes de ameaças podem obscurecer a origem e o destino do tráfego, dificultando para os defensores rastrear o tráfego de volta ao C2. Isso torna mais difícil para os defensores detectar e responder ao ataque.
Além disso, uma cadeia de nós infectados torna mais difícil para os defensores interromper a comunicação entre o invasor e o C2. Se um nó da cadeia for comprometido ou desativado, o invasor ainda poderá manter a comunicação com o C2 roteando o tráfego por meio de um nó diferente da cadeia.
.
