恶意软件将家庭路由器变成中国政府支持的黑客的代理 – Ars Technica

周二，研究人员公布了一项重大发现——恶意固件可以将范围广泛的住宅和小型办公室路由器诱骗到一个网络中，该网络暗中将流量输送到由中国国家支持的黑客维护的命令和控制服务器。

在文件中检测到固件植入 写作 Check Point Research 指出，它包含一个功能齐全的后门，允许攻击者使用受感染的设备建立连接和传输文件、远程发出命令以及上传、下载和删除文件。 植入物以 TP-Link 路由器固件映像的形式出现。 然而，编写良好的 C++ 代码需要付出很多努力才能以“固件不可知论”的方式实现其功能，这意味着很容易修改以在其他路由器模型上运行。

不是目的，只是手段

该恶意软件的主要目的似乎是在受感染目标与攻击者的命令和控制服务器之间以一种模糊来源和联系方式的方式传输流量。 通过进一步分析，Check Point Research 最终发现控制基础设施是由与高级持续威胁参与者 Mustang Panda 相关的黑客操作的。 avast 和 易捷 这些安全公司表示，他们代表中国政府工作。

Check Point 研究人员在期刊中写道 写得更短. 换句话说，家用路由器被感染并不意味着屋主成为特定目标，而只是达到目的的一种手段。

研究人员在调查针对欧洲外交事务实体的一系列有针对性的攻击时发现了该植入物。 主要部件是尾门，内部名称为 Horse Shell。 马固定的三个主要功能是：

• 在受感染机器上执行命令的远程 shell
• 文件传输 将文件上传到受感染设备或从受感染设备下载文件
• 使用在两个设备之间交换数据 袜子 5，这是一种协议，用于生成到任意 IP 地址的 TCP 连接代理，并提供转发 UDP 数据包的方法。

SOCKS5 功能似乎是移植的最终目标。 通过创建仅与两个最近的节点（每个方向一个）建立加密连接的受感染机器链，任何偶然发现一个节点的人都很难知道感染的来源、最终目的地或真正目的。 正如 Check Point 研究人员所写：

植入物可以在两个节点之间传输通信。 通过这样做，攻击者可以创建一个节点链，将流量中继到命令和控制服务器。 通过这样做，攻击者可以隐藏最终的命令和控制，因为链中的每个节点只包含关于前一个和下一个节点的信息，每个节点都是一台受感染的机器。 只有少数节点会知道最终命令和控制的身份。

通过使用多层节点隧道连接，威胁行为者可以掩盖流量的来源和目的地，使防御者难以将流量追溯到 C2。 这使得防御者很难检测和响应攻击。

此外，受感染节点链使防御者难以中断攻击者与 C2 之间的通信。 如果链中的一个节点被破坏或关闭，攻击者仍然可以通过将流量路由到链中的不同节点来保持与 C2 的通信。

还记得 VPNFilter、ZuroRat 和 Hiatus 吗？

使用路由器和所谓的物联网设备来伪装控制服务器和秘密代理流量是威胁行业中最古老的技巧之一。 从剧本中借用此页面的其他黑客活动最著名的例子是 2018 年发现的一个使用 VPNFilter 的例子。 该恶意软件由克里姆林宫支持的 APT28（又名 Fancy Bear）创建，被发现感染了 Linksys、Mikrotik、Netgear、TP-Link 和 QNAP 制造的超过 500,000 台网络设备。 VPNFilter 提供了多种功能，其中最主要的功能是由“socks5proxy”模块启用的，该模块将受感染的设备转变为 SOCKS5 VPN 代理服务器。 类似的例子包括名为 ZuoRAT 的恶意软件，该恶意软件于去年被发现感染了 Cisco、Netgear、Asus 和 DrayTek 制造的大量路由器。 今年早些时候，研究人员发现了 Hiatus，这是一项复杂的黑客活动，可从 DrayTek SOCKS 代理转移高带宽路由器。

Check Point 研究人员仍然不知道恶意植入程序是如何安装到设备上的。 可能的赌注是，威胁行为者要么在利用硬件漏洞，要么在互联网上搜索受弱密码或默认管理密码保护的设备。

尽管到目前为止检测到的唯一固件映像仅适用于 TP-Link 设备，但没有什么可以阻止威胁参与者创建适用于更广泛设备的映像。 这种跨平台能力源于植入架构师将多个开源库集成到他们的代码中。 库包括用于远程 shell 的 Telnet、用于事件处理的 libev、用于 Base32 二进制数据编码和解码的 libbase32，以及基于 TOR 智能列表.

其他灵感可能来自项目，包括 shadowsocks-libev 服务器和 udptun UDP 隧道。 使用的 HTTP 标头取自开源存储库。

“在 TP-Link 的修改后的固件图像中检测到植入的组件，”研究人员写道。 “但是，它们是以与固件无关的方式编写的，并不特定于任何特定产品或供应商。因此，它们可能包含在不同供应商的不同固件中。”