SAN CARLOS, Kalifornien, USA – 15. Mai 2023 – Kürzlich untersuchte Check Point Research (CPR) eine Reihe von gezielten Cyberangriffen auf europäische Einrichtungen für auswärtige Angelegenheiten und führte sie auf eine vom chinesischen Staat gesponserte APT-Gruppe zurück, die von CPR als „Camaro Dragon“ bezeichnet wird. Diese Aktivitäten weisen erhebliche infrastrukturelle Überschneidungen mit Aktivitäten auf, die öffentlich mit „Mustang Panda“ in Verbindung gebracht werden. Die Sicherheitsforscher entdeckten ein bösartiges Firmware-Implantat, das für TP-Link-Router erstellt wurde und verschiedene schädliche Komponenten enthält, darunter eine angepasste Backdoor namens „Horse Shell“. Die Backdoor ermöglichte es Angreifern, die volle Kontrolle über das infizierte Gerät zu übernehmen, unentdeckt zu bleiben und auf kompromittierte Netzwerke zuzugreifen. Eine gründliche Analyse von CPR hat diese bösartigen Taktiken aufgedeckt und bietet eine detaillierte Analyse.
Dieser Beitrag beschäftigt sich mit den komplexen Details der Analyse des „Horse Shell“-Router-Implantats, Erkenntnisse über die Funktionsweise des Implantats mitteilen und es mit anderen Router-Implantaten vergleichen, die mit anderen vom chinesischen Staat gesponserten Gruppen in Verbindung gebracht werden. Durch die Untersuchung dieses Implantats soll Licht in die Techniken und Taktiken der APT-Gruppe gebracht werden, um ein besseres Verständnis dafür zu entwickeln, wie Bedrohungsakteure bösartige Firmware-Implantate in Netzwerkgeräten für ihre Angriffe nutzen.
Die Attacke
Die Untersuchung der „Camaro Dragon“-Aktivitäten bezog sich auf eine Kampagne, die hauptsächlich auf europäische Einrichtungen für auswärtige Angelegenheiten abzielte. Obwohl Horse Shell auf der angreifenden Infrastruktur gefunden wurde, ist unklar, wer die Opfer des Router-Implantats sind.
Aus der Vergangenheit ist bekannt, dass Router-Implantate oft auf beliebigen Geräten ohne besonderes Interesse installiert werden, um eine Verbindung zwischen den Hauptinfektionen und der eigentlichen Befehls- und Kontrollfunktion zu schaffen. Mit anderen Worten: Die Infizierung eines Heimrouters bedeutet nicht, dass der Hausbesitzer gezielt angegriffen wurde, sondern dass er nur ein Mittel zum Zweck ist.
Schutz für das Netzwerk
Die Entdeckung des bösartigen Implantats von Camaro Dragon für TP-Link-Router zeigt, wie wichtig es ist, Schutzmaßnahmen gegen ähnliche Angriffe zu ergreifen. Hier sind einige Empfehlungen zur Erkennung und zum Schutz:
- Software-Aktualisierungen: Regelmäßige Aktualisierungen der Firmware und Software von Routern und anderen Geräten sind entscheidend, um Schwachstellen zu verhindern, die Angreifer ausnutzen könnten.
- Standard-Anmeldeinformationen: Ändern Sie die Standard-Anmeldedaten für alle Geräte, die mit dem Internet verbunden sind, in sichere Passwörter und verwenden Sie, wann immer möglich, mehrstufige Authentifizierung. Angreifer scannen das Internet häufig nach Geräten, die noch Standard- oder schwache Anmeldedaten verwenden.
- Verwenden von Check Point-Produkten: Die Netzwerksicherheitslösungen von Check Point bieten fortschrittliche Bedrohungsabwehr und Netzwerkschutz in Echtzeit gegen ausgeklügelte Angriffe, wie sie von der Camaro Dragon APT-Gruppe verwendet werden. Dazu gehört der Schutz vor Exploits, Malware und anderen hochentwickelten Bedrohungen. Quantum IoT Protect von Check Point identifiziert und kartiert automatisch IoT-Geräte und bewertet das Risiko, verhindert mit Zero-Trust-Profiling und -Segmentierung den unbefugten Zugriff auf und von IoT/OT-Geräten und blockiert Angriffe auf IoT-Geräte.
Hersteller können ihre Geräte besser vor Malware und Cyberangriffen schützen. Vorschriften wie die EU Machinery Directive verlangen von Anbietern und Herstellern, dass sie sicherstellen, dass die Geräte keine Risiken für die Benutzer darstellen und dass sie Sicherheitsfunktionen in die Geräte integrieren.
Check Point IoT Embedded mit Nano Agent® bietet einen Laufzeitschutz auf dem Gerät, der vernetzte Geräte mit integrierter Firmware-Sicherheit ermöglicht. Der Nano Agent® ist ein maßgeschneidertes Paket, das die besten Sicherheitsfunktionen bietet und bösartige Aktivitäten auf Routern, Netzwerkgeräten und anderen IoT-Geräten verhindert. Check Point IoT Nano Agent® verfügt über fortschrittliche Funktionen wie Speicherschutz, Anomalieerkennung und Kontrollflussintegrität.
Alle Berichte von Check Point finden Sie unter: https://blog.checkpoint.com/
Alle Berichte des Check Point Research Teams finden Sie unter: https://research.checkpoint.com/
Folgen Sie Check Point Research auf:
Blog: https://research.checkpoint.com
Twitter: https://twitter.com/_cpresearch
Blog: https://blog.checkpoint.com
YouTube: https://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
Über Check Point Research
Check Point Research stellt Check Point Software-Kunden und der gesamten Geheimdienst-Community führende Erkenntnisse über Cyber-Bedrohungen zur Verfügung. Das Forschungsteam sammelt und analysiert globale Cyber-Angriffsdaten, die in der ThreatCloud gespeichert sind, um Hacker in Schach zu halten und gleichzeitig sicherzustellen, dass alle Check Point Produkte mit den neuesten Schutzmaßnahmen aktualisiert werden. Das Forschungsteam besteht aus über 100 Analysten und Forschern, die mit anderen Sicherheitsanbietern, Strafverfolgungsbehörden und verschiedenen CERTs zusammenarbeiten.
Über Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) ist ein führender Anbieter von Cybersicherheitslösungen für Unternehmen und Regierungen weltweit. Das Lösungsportfolio von Check Point Infinity schützt Unternehmen und öffentliche Einrichtungen vor Cyberangriffen der fünften Generation mit einer branchenführenden Abfangrate von Malware, Ransomware und anderen Bedrohungen. Infinity besteht aus vier Kernsäulen, die kompromisslose Sicherheit und Schutz vor Bedrohungen der Generation V in Unternehmensumgebungen bieten: Check Point Harmony für Remote-Benutzer, Check Point CloudGuard für die automatische Absicherung von Clouds und Check Point Quantum für den Schutz von Netzwerkperimetern und Rechenzentren, die alle durch das branchenweit umfassendste und intuitivste Unified Security Management gesteuert werden: Check Point Horizon, eine auf Prävention ausgerichtete Security Operations Suite. Check Point schützt über 100.000 Unternehmen aller Größenordnungen.
