Un groupe de piratage parrainé par l’État chinois nommé « Camaro Dragon » infecte les routeurs TP-Link résidentiels avec un malware personnalisé « Horse Shell » utilisé pour attaquer les organisations européennes des affaires étrangères.
Le logiciel malveillant de porte dérobée est déployé dans un micrologiciel personnalisé et malveillant conçu spécifiquement pour les routeurs TP-Link afin que les pirates puissent lancer des attaques semblant provenir de réseaux résidentiels.
« Il convient de noter que ce type d’attaque ne vise pas spécifiquement les réseaux sensibles, mais plutôt les réseaux résidentiels et domestiques classiques », explique le rapport de Check Point.
« Par conséquent, infecter un routeur domestique ne signifie pas nécessairement que le propriétaire était une cible spécifique, mais plutôt que son appareil n’était qu’un moyen pour les attaquants. »
Le logiciel malveillant déployé permet aux pirates un accès complet à l’appareil, notamment en exécutant des commandes shell, en téléchargeant et en téléchargeant des fichiers et en l’utilisant comme proxy SOCKS pour relayer la communication entre les appareils.
L’implant du micrologiciel Horse Shell TP-Link a été découvert par Check Point Research en janvier 2023, qui affirme que l’activité des pirates chevauche celle du groupe de piratage chinois « Mustang Panda » récemment détaillé dans les rapports Avast et ESET.
Check Point suit cette activité séparément en utilisant le nom « Camaro Dragon » pour le cluster d’activité malgré les similitudes et le chevauchement considérable avec Mustang Panda.
L’attribution a été faite sur la base des adresses IP des serveurs des attaquants, des requêtes contenant des en-têtes HTTP codés en dur trouvés sur divers sites Web chinois, de nombreuses fautes de frappe dans le code binaire qui montrent que l’auteur n’est pas anglophone et des similitudes fonctionnelles du cheval de Troie avec l’implant de défonceuse APT31 « Pakdoor ».
Implantation du micrologiciel TP-Link
Bien que Check Point n’ait pas déterminé comment les attaquants infectent les routeurs TP-Link avec l’image du micrologiciel malveillant, ils ont déclaré que cela pourrait être en exploitant une vulnérabilité ou en forçant brutalement les informations d’identification de l’administrateur.
Une fois qu’un pirate obtient un accès administrateur à l’interface de gestion, il peut mettre à jour l’appareil à distance avec l’image du micrologiciel personnalisé.
Après enquête, Check Point a trouvé deux échantillons d’images de micrologiciels contenant des chevaux de Troie pour les routeurs TP-Link, contenant tous deux des modifications importantes et des ajouts de fichiers.
Check Point a comparé le firmware TP-Link malveillant avec une version légitime et a constaté que les sections noyau et uBoot étaient les mêmes. Cependant, le micrologiciel malveillant utilisait un système de fichiers SquashFS personnalisé qui contenait des composants de fichiers malveillants supplémentaires faisant partie de l’implant de malware de porte dérobée Horse Shell.
« Certaines parties de celui-ci portent le nom interne de Horse Shell, nous l’utilisons donc pour nommer l’implant dans son ensemble. L’implant fournit à l’attaquant 3 fonctionnalités principales : shell distant, transfert de fichiers et tunnelisation », explique Check Point.
Le micrologiciel modifie également le panneau Web de gestion, empêchant le propriétaire de l’appareil de flasher une nouvelle image de micrologiciel pour le routeur et assurant la persistance de l’infection.
La porte dérobée Horse Shell
Lorsque l’implant de porte dérobée Horse Shell est initialisé, il demandera au système d’exploitation de ne pas terminer son processus lorsque les commandes SIGPIPE, SIGINT ou SIGABRT sont émises, et d’être converti en un démon à exécuter en arrière-plan.
La porte dérobée se connectera ensuite au serveur de commande et de contrôle (C2) pour envoyer le profil de la machine de la victime, y compris le nom d’utilisateur, la version du système d’exploitation, l’heure, les informations sur l’appareil, l’adresse IP, l’adresse MAC et les fonctionnalités d’implant prises en charge.
Horse Shell fonctionnera désormais silencieusement en arrière-plan en attendant l’une des trois commandes suivantes :
- Démarrez un shell distant offrant aux pirates un accès complet à l’appareil compromis.
- Effectuez des activités de transfert de fichiers, y compris le chargement et le téléchargement, la manipulation de base des fichiers et l’énumération des répertoires.
- Démarrez le tunneling pour masquer l’origine et la destination du trafic réseau et masquer l’adresse du serveur C2.
Les chercheurs affirment que l’implant de micrologiciel Horse Shell est indépendant du micrologiciel, de sorte qu’il pourrait théoriquement fonctionner dans des images de micrologiciel pour d’autres routeurs de différents fournisseurs.
Il n’est pas surprenant de voir des pirates parrainés par l’État cibler des routeurs mal sécurisés, souvent ciblés par des botnets pour des attaques DDoS ou des opérations de crypto-minage. En effet, les routeurs sont souvent négligés lors de la mise en œuvre des mesures de sécurité et peuvent agir comme une rampe de lancement furtive pour les attaques, masquant l’origine de l’attaquant.
Il est conseillé aux utilisateurs d’appliquer la dernière mise à jour du micrologiciel pour leur modèle de routeur afin de corriger les vulnérabilités existantes et de remplacer le mot de passe administrateur par défaut par quelque chose de fort. Cependant, encore plus critique, désactivez l’accès à distance au panneau d’administration de l’appareil et rendez-le uniquement accessible depuis le réseau local.
Un thème récurrent
Les appareils de réseau Edge sont devenus une cible populaire pour les acteurs de la menace parrainés par l’État, les pirates chinois ciblant auparavant les routeurs Fortinet VPN et SonicWall SMA avec des implants de micrologiciels personnalisés.
Plus récemment, les agences de cybersécurité britanniques NCSC et américaines CISA ont averti que des acteurs de la menace parrainés par l’État russe violaient également les routeurs Cisco pour installer des logiciels malveillants personnalisés.
Comme ces appareils ne prennent généralement pas en charge les solutions de sécurité EDR (Endpoint Detection and Response), les pirates peuvent les utiliser pour voler des données, se propager latéralement et mener d’autres attaques avec moins de possibilités de détection.
« Il y a un thème récurrent de l’accent continu du cyberespionnage sur le lien avec la Chine sur les appareils réseau, les appareils IOT, etc. qui ne prennent pas en charge les solutions EDR », a déclaré Charles Carmakal, CTO de Mandiant, à Breachtrace.
Pour cette raison, il est essentiel que les administrateurs réseau installent tous les correctifs de sécurité disponibles sur les appareils périphériques dès qu’ils sont disponibles et n’exposent pas publiquement les consoles de gestion.