Attack uses custom router implant to target European governments

चेक प्वाइंट रिसर्च ने एक नई रिपोर्ट जारी की जो एक चीनी राज्य-प्रायोजित एपीटी खतरे वाले अभिनेता की गतिविधियों को उजागर करती है जो अनुसंधान टीम केमेरो ड्रैगन के रूप में ट्रैक करती है। खतरा अभिनेता एक विशिष्ट टीपी-लिंक राउटर मॉडल से समझौता करने और उससे जानकारी चुराने के लिए कस्टम इम्प्लांट का उपयोग करता है, साथ ही हमलावरों को बैकडोर एक्सेस प्रदान करता है।

रिपोर्ट इस साइबर हमले के बारे में अतिरिक्त तकनीकी विवरण प्रदान करती है, कौन प्रभावित होता है और इस सुरक्षा खतरे का कैसे पता लगाया जाए और कैसे बचाव किया जाए।

करने के लिए कूद:

टीपी-लिंक राउटर फर्मवेयर में “हॉर्स शेल” इम्प्लांट मिला

केमेरो ड्रैगन के अपने विश्लेषण के दौरान, शोधकर्ताओं ने अपने हमलों में उपयोग की जाने वाली बड़ी संख्या में फाइलों की खोज की, जिनमें से दो 2014 के आसपास जारी WR940 राउटर मॉडल के लिए टीपी-लिंक फर्मवेयर छवियां थीं। उन प्रत्यारोपणों को मुख्य रूप से लक्षित एक हमले अभियान में पाया गया था। यूरोपीय विदेश मामलों की संस्थाएँ।

टीपी-लिंक WR940 राउटर के लिए उन फाइलों की वैध फर्मवेयर छवियों से तुलना करके, चेक प्वाइंट ने पाया कि फाइल सिस्टम को बदल दिया गया है, फर्मवेयर में चार फाइलों को जोड़ा गया है और एक दुर्भावनापूर्ण इम्प्लांट को निष्पादित करने के लिए दो फाइलों को संशोधित किया गया है (चित्रा ए).

चित्रा ए

पहली खोज से पता चलता है कि हमलावरों ने फर्मवेयर से SoftwareUpgradRpm.htm वैध फ़ाइल को संशोधित किया, जो राउटर के वेब इंटरफेस के माध्यम से सुलभ है और मैन्युअल फर्मवेयर अपग्रेड की अनुमति देता है (चित्रा बी).

चित्रा बी

पृष्ठ का संशोधित संस्करण फर्मवेयर अपग्रेड विकल्प को पूरी तरह से छुपा देता है, इसलिए व्यवस्थापक अब इसे अपग्रेड नहीं कर सकता (चित्रा सी).

चित्रा सी

दूसरी खोज /etc/rc.d/rcS फ़ाइल का संशोधन है जो ऑपरेटिंग सिस्टम की स्टार्टअप स्क्रिप्ट का हिस्सा है। हमलावरों ने फ़र्मवेयर के फ़ाइल सिस्टम पर जोड़ी गई तीन फ़ाइलों के निष्पादन को जोड़ दिया ताकि समझौता किए गए राउटर पर इम्प्लांट की दृढ़ता सुनिश्चित करते हुए ऑपरेटिंग सिस्टम के पुनरारंभ होने पर इसे हर बार निष्पादित किया जा सके।

स्क्रिप्ट द्वारा बूट समय पर निष्पादित की जाने वाली एक फाइल है /usr/bin/shell. यह फ़ाइल पोर्ट 14444 पर एक पासवर्ड-सुरक्षित बाइंड शेल है, जिसका अर्थ है कि एक अच्छा पासवर्ड प्रदान करके इस शेल तक पहुँच प्राप्त करना संभव है। फ़ाइल की त्वरित जांच से फ़ाइल में स्पष्ट पाठ में संग्रहीत पासवर्ड (J2)3#4G@Iie) का पता चला।

एक अन्य फ़ाइल, /usr/bin/timer, हमलावरों के लिए दृढ़ता की एक अतिरिक्त परत प्रदान करती है क्योंकि इसकी एकमात्र भूमिका यह सुनिश्चित करना है कि /usr/bin/udhcp चल रहा है, जिसमें यह फ़ाइल मुख्य इम्प्लांट है।

मुख्य दुर्भावनापूर्ण इम्प्लांट /usr/bin/udhcp है, जिसे चेक प्वाइंट रिसर्च द्वारा हॉर्स शेल करार दिया गया है। नाम फ़ाइल के आंतरिक डेटा से आता है। यह सिस्टम पर एक डेमन के रूप में पृष्ठभूमि में चलता है और तीन कार्यात्मकताएं प्रदान करता है: रिमोट शेल, फाइल ट्रांसफर और टनलिंग।

एक अंतिम फ़ाइल, /usr/bin/sheel, C2 कॉन्फ़िगरेशन को लिखने और पढ़ने के लिए प्रभारी है जो इसे डिवाइस के दूसरे विभाजन में संग्रहीत करता है। डेटा को एक ब्लॉक डिवाइस से सीधे लिखा और पढ़ा जाता है, ताकि किसी एडमिनिस्ट्रेटर द्वारा पता न लगाया जा सके या देखा जा सके।

एक बार udhcp इम्प्लांट निष्पादित हो जाने के बाद, यह अपने C2 सर्वर पर डेटा एकत्र करता है और भेजता है: उपयोगकर्ता और सिस्टम नाम, ऑपरेटिंग सिस्टम संस्करण और समय, CPU आर्किटेक्चर और CPU की संख्या, कुल RAM, IP और MAC पते, इम्प्लांट द्वारा समर्थित विशेषताएं (रिमोट) शेल, फाइल ट्रांसफर और टनलिंग) और सक्रिय कनेक्शन की संख्या।

चेक प्वाइंट रिसर्च के अनुसार, तथ्य यह है कि मैलवेयर सीपीयू आर्किटेक्चर से संबंधित डेटा भेजता है और थ्रेट एक्टर को कार्यात्मकताओं का समर्थन करता है, जिससे पता चलता है कि हमलावरों के पास विभिन्न उपकरणों और कार्यात्मकताओं के विभिन्न सेटों का समर्थन करने वाले अन्य संस्करण हो सकते हैं।

मैलवेयर अपने C2 सर्वर के साथ पोर्ट 80 पर HTTP प्रोटोकॉल का उपयोग करके संचार करता है, एक कस्टम एन्क्रिप्शन योजना के साथ सामग्री को एन्क्रिप्ट करता है। इस पद्धति का उपयोग गारंटी देता है कि डेटा को प्रसारित किया जा सकता है क्योंकि उपकरण आमतौर पर नेटवर्क पर संचार करने के लिए ऐसी विधि का उपयोग करते हैं और पोर्ट 80 आमतौर पर फ़ायरवॉल द्वारा अवरुद्ध नहीं होता है। HTTP सामग्री में विशिष्ट हार्ड-कोडेड हेडर भी होते हैं जो शोधकर्ताओं ने चीनी वेबसाइटों से कोडिंग फ़ोरम और रिपॉजिटरी पर पाए और इसमें चीन के लिए विशिष्ट भाषा कोड zh-CN शामिल है। इसके अलावा, कोड में टाइपोस इंगित करते हैं कि डेवलपर मूल अंग्रेजी वक्ता नहीं हो सकता है।

टनलिंग कार्यक्षमता हमलावरों को नोड्स की एक श्रृंखला बनाने की अनुमति देती है, जिसमें प्रत्येक नोड एक समझौता डिवाइस है। प्रत्येक नोड में केवल पिछले और अगले नोड्स के बारे में जानकारी थी, इसलिए हमलावरों को ट्रैक करना कठिन हो जाता है क्योंकि वे इम्प्लांट के साथ संचार करने के लिए कई अलग-अलग नोड्स का उपयोग कर सकते हैं। इसके अलावा, यदि एक नोड को अचानक हटा दिया जाता है, तो हमलावर श्रृंखला में एक अलग नोड के माध्यम से ट्रैफ़िक को रूट कर सकता है।

केमेरो ड्रैगन और मस्टैंग पांडा के बीच संबंध

चेक प्वाइंट रिसर्च में केवल चीनी कोडिंग फ़ोरम में पाए जाने वाले कोड के उपयोग और इम्प्लांट द्वारा उपयोग किए जाने वाले HTTP हेडर में zh-cn भाषा पैरामीटर के उपयोग का उल्लेख है। शोधकर्ताओं ने हमलावर द्वारा उपयोग किए जाने वाले विभिन्न प्रकार के उपकरणों की खोज का भी उल्लेख किया है – उनमें से कुछ आमतौर पर चीनी राज्य-प्रायोजित खतरे वाले अभिनेताओं से जुड़े होते हैं।

समूह की गतिविधि में एक अन्य चीनी राज्य-प्रायोजित एपीटी खतरे वाले अभिनेता मस्टैंग पांडा के साथ महत्वपूर्ण ओवरलैप है। चेक प्वाइंट द्वारा देखे गए सबसे मजबूत ओवरलैप में C2 सर्वरों के लिए मस्टैंग पांडा के समान IP पते का उपयोग करके केमेरो ड्रैगन शामिल है, लेकिन अन्य गैर-खुलासा तत्व शोधकर्ता को संकेत देते हैं कि “यह सुझाव देने के लिए पर्याप्त सबूत हैं कि केमेरो ड्रैगन का मस्टैंग के साथ महत्वपूर्ण ओवरलैप है। पांडा, अफसोस हम यह नहीं कह सकते कि यह एक पूर्ण ओवरलैप है या ये दोनों एक ही समूह हैं।

हॉर्स शेल के मामले में, यह संभव है कि अन्य खतरे वाले अभिनेता इसका उपयोग करेंगे, विशेष रूप से केमेरो ड्रैगन और मस्टैंग पांडा के बीच संबंधों को देखते हुए। यह भी संभव है कि मस्टैंग पांडा भविष्य में इसका उपयोग अपने संचालन के लिए कर सकता है।

राउटर इम्प्लांट एक बढ़ता हुआ खतरा है

राउटर इम्प्लांट्स हमलावरों के लिए बहुत लोकप्रिय नहीं हैं क्योंकि उन्हें अधिक विकासशील कौशल की आवश्यकता होती है। हॉर्स शेल मामले में, इसे MIPS32-आधारित ऑपरेटिंग सिस्टम के अच्छे ज्ञान की आवश्यकता थी। वास्तविक हमले में इसे तैनात करने से पहले कोड को विकसित करने और परीक्षण करने के लिए एक या कई राउटरों के मालिक होने की भी आवश्यकता होती है।

दूसरी ओर, राउटर जैसे उपकरणों की निगरानी कम होती है और कम समझौता होने की उम्मीद होती है। हाल के वर्षों में, राउटर संक्रमण सामने आए हैं।

2018 में, गुलेल एपीटी के साथ, हमलावरों ने राउटर व्यवस्थापक को संक्रमित करने और अपने हमले के साथ आगे बढ़ने के लक्ष्य के साथ मिकरोटिक राउटर में मैलवेयर लगाने के लिए भेद्यता का फायदा उठाया।

2021 में, फ्रांसीसी सरकारी कंप्यूटर आपातकालीन प्रतिक्रिया टीम CERT-FR ने चीनी खतरे वाले अभिनेता APT31 (उर्फ जजमेंट पांडा या ज़िरकोनियम) के बारे में रिपोर्ट की, जो मुख्य रूप से पकेज, सोफोस और सिस्को से समझौता किए गए छोटे कार्यालय / गृह कार्यालय राउटर का उपयोग कर रहे थे। एजेंसी ने अपने हमले अभियान के दौरान हमलावरों द्वारा उपयोग किए गए लगभग 1,000 आईपी पतों की खोज की।

2022 में, अज्ञात अभी तक संभवतः राज्य-प्रायोजित खतरे अभिनेता द्वारा उपयोग किए जाने वाले ज़ूओआरएटी मैलवेयर ने एएसयूएस, सिस्को, ड्रायटेक और नेटगियर से एसओएचओ राउटर को लक्षित किया।

2023 में, हाईटस मालवेयर ने अमेरिका और यूरोप पर हमला किया, जो कि DrayTek के राउटर को लक्षित करता है, जो ज्यादातर मध्यम आकार के संगठनों द्वारा उपयोग किया जाता है, जिसमें फार्मास्यूटिकल्स और आईटी सेवाओं, परामर्श फर्मों और सरकारों की कंपनियां शामिल हैं।

पिछले महीने, रूसी खतरा अभिनेता APT28 (उर्फ फैंसी बियर, स्ट्रोंटियम, पॉन स्टॉर्म) ने यूरोप और यूक्रेन में अमेरिकी सरकारी संस्थानों और अन्य संगठनों को लक्षित करने के लिए सिस्को राउटर भेद्यता का फायदा उठाया।

चेक प्वाइंट रिसर्च के विशेषज्ञ राउटर समझौता के बारे में अपनी चिंता व्यक्त करते हैं और लिखते हैं कि “इस तरह की क्षमताएं और हमले के प्रकार लगातार रुचि रखते हैं और चीनी-संबद्ध खतरे वाले अभिनेताओं पर ध्यान केंद्रित करते हैं।”

इस क्षेत्र के विशेषज्ञ उम्मीद करते हैं कि भविष्य में राउटर समझौता बढ़ेगा।

इस खतरे का कैसे पता लगाया जाए और इससे बचाव कैसे किया जाए

चेक प्वाइंट HTTP नेटवर्क संचार की जांच करने और मैलवेयर द्वारा उपयोग किए जाने वाले विशिष्ट HTTP हेडर की तलाश करने की दृढ़ता से सलाह देता है। उन शीर्षकों को चीनी भाषी कोडिंग मंचों में साझा किया गया है, इसलिए यह कैमरो ड्रैगन के अलावा अन्य खतरे वाले अभिनेताओं के हमले का संकेत भी दे सकता है।

WR940 राउटर उपकरणों पर टीपी-लिंक फ़ाइल सिस्टम को रिपोर्ट की गई फ़ाइलों की उपस्थिति और मौजूदा फ़ाइलों के संशोधनों के लिए जाँच की जानी चाहिए।

चूंकि राउटर पर संशोधित फर्मवेयर स्थापित करने के लिए प्रारंभिक संक्रमण अज्ञात रहता है, यह दृढ़ता से सलाह दी जाती है कि हमलावरों द्वारा एक सामान्य भेद्यता को ट्रिगर करने से बचने के लिए हमेशा पैच तैनात करें और सभी सॉफ़्टवेयर और फ़र्मवेयर को अद्यतित रखें।

ऐसे उपकरणों पर डिफ़ॉल्ट क्रेडेंशियल्स को बदलने की सलाह दी जाती है ताकि हमलावर इसके साथ लॉग इन न कर सकें, क्योंकि कुछ राउटर डिफ़ॉल्ट क्रेडेंशियल्स के साथ कॉन्फ़िगर किए गए हैं, जो सार्वजनिक रूप से ज्ञात हैं और राउटर में लॉग इन करने के लिए किसी के द्वारा उपयोग किया जा सकता है।

राउटर का दूरस्थ प्रबंधन केवल आंतरिक नेटवर्क से ही किया जाना चाहिए; यह इंटरनेट से सुलभ नहीं होना चाहिए।

राउटर गतिविधि की निगरानी करने और विसंगतियों और संदिग्ध गतिविधि या अनधिकृत पहुंच प्रयासों के लिए लॉग की जांच करने की सलाह दी जाती है।

प्रकटीकरण: मैं ट्रेंड माइक्रो के लिए काम करता हूं, लेकिन इस लेख में व्यक्त किए गए विचार मेरे हैं।