攻撃者が検出を回避しつつ、感染したデバイスを完全に制御して侵害されたネットワークにアクセスできるルーター向けインプラントの存在が、セキュリティ企業Check Pointの調査チーム・Check Point Research(CPR)によって明らかになりました。インプラントを仕掛けているのは、中国政府が支援するAPT(Advanced Persistent Threat:高度持続的脅威)グループ「Camaro Dragon(カマロドラゴン)」であるとみられています。
Check Point Research reveals a malicious firmware implant for TP-Link routers, linked to Chinese APT group – Check Point Blog
https://blog.checkpoint.com/security/check-point-research-reveals-a-malicious-firmware-implant-for-tp-link-routers-linked-to-chinese-apt-group/
The Dragon Who Sold His Camaro: Analyzing Custom Router Implant – Check Point Research
https://research.checkpoint.com/2023/the-dragon-who-sold-his-camaro-analyzing-custom-router-implant/
Malware turns home routers into proxies for Chinese state-sponsored hackers | Ars Technica
https://arstechnica.com/information-technology/2023/05/malware-turns-home-routers-into-proxies-for-chinese-state-sponsored-hackers/
CPRは、ヨーロッパの外交機関に対する標的型サイバー攻撃の調査を行い、APTグループ「カマロドラゴン」のによるものであると断定しました。
CPRの調査で、「Horse Shell」と呼ばれるカスタムされたバックドアを含めたさまざまな有害コンポーネントを内包した、TP-Link製ルーター用に作られた悪意のあるファームウェアインプラントが見つかっています。
「Horse Shell」を用いることで、攻撃者はマルウェアに感染したデバイスを完全に制御し、検出されることなく、侵害されたネットワークにアクセスすることができます。
「Horse Shell」は、感染したルーター上で任意のコマンドを実行する「リモートシェル」、感染したルーターとの間でファイルをアップロード・ダウンロードする「ファイル転送」、異なるクライアント間の通信を中継する「SOCKS5トンネリング」の3つの機能を攻撃者に提供します。
どのようにしてルーターにインプラントが行われたのかは不明で、CPRは、既知の脆弱(ぜいじゃく)性を用いたか、パスワードがデフォルト設定の端末や簡単に推測できる端末を対象にすることでアクセスに成功した可能性があると推測しています。
CPRは、この種の攻撃が機密性の高いネットワークではなく、ホームネットワークを狙っている点が注目に値すると記しています。なお、ホームネットワークを狙うのは、特定の家庭を攻撃目標としているためではなく、中継点として利用するためで、ホームルーターは攻撃者にとって目的達成のための単なる手段だとのこと。
CPRによれば、インプラントのコンポーネントはファームウェアに依存しないものであり、TP-Link以外の広範囲のデバイスやベンダーが危険にさらされている恐れがあるとのことです。なお、ニュースサイト・Ars Technicaの取材に対し、TP-Linkはコメントしませんでした。
この記事のタイトルとURLをコピーする
