Bösartige Firmware "Horse Shell" als Backdoor für TP-Link-Router enttarnt

Sicherheit (Pexels, allgemeine Nutzung)[English]Sicherheitsforscher von Check Point Research (CRP) sind bei der Analyse von Cyberangriffe auf europäische Einrichtungen auf ein Backdoor namens "Horse Shell" gestoßen. Diese wurde von einer vom chinesischen Staat gesponserten APT-Gruppe namens "Camaro Dragon" als Firmware auf TP-Link-Routern eingeschleust. Check Point Research (CRP) hat mir die Tage Details bereitgestellt, die ich nachfolgend im Blog veröffentliche.


Anzeige

Es war eine Reihe von gezielten Cyberangriffen auf europäische Einrichtungen für auswärtige Angelegenheiten, die die Sicherheitsexperten von Check Point Research (CPR) auf den Plan riefen. Bei der Analyse der Angriffe stießen die Sicherheitsforscher dann auf ein bösartiges Firmware-Implantat für TP-Link-Router, welches eine angepasste Backdoor namens "Horse Shell" beinhaltet. Die Backdoor ermöglichte es Angreifern die volle Kontrolle über das infizierte Gerät zu übernehmen, unentdeckt zu bleiben und auf kompromittierte Netzwerke zuzugreifen.

Die Sicherheitsexperten von Check Point Research (CPR) weisen die vom chinesischen Staat gesponserte APT-Gruppe namens "Camaro Dragon" als Urheber der Angriffe und der bösartigen Firmware aus. Diese Aktivitäten weisen erhebliche infrastrukturelle Überschneidungen mit Aktivitäten auf, die öffentlich mit "Mustang Panda" in Verbindung gebracht werden, schreiben die Sicherheitsforscher.

Die gründliche Analyse der Cyberangriffe konnte die bösartigen Taktiken aufdecken, und die Sicherheitsforscher von CPR haben eine detaillierte Analyse veröffentlicht. Die Erkenntnisse über die Funktionsweise des Implantats ermöglichen es auch, diese mit anderen Router-Implantaten zu vergleichen, die mit anderen vom chinesischen Staat gesponserten Gruppen in Verbindung gebracht werden. Durch die Untersuchung dieses Implantats möchte CPR Licht in die Techniken und Taktiken der APT-Gruppe bringen. Ziel ist es, ein besseres Verständnis dafür zu entwickeln, wie Bedrohungsakteure bösartige Firmware-Implantate in Netzwerkgeräten für ihre Angriffe nutzen.

Der Cyberangriff

Die Untersuchung der "Camaro Dragon"-Aktivitäten bezog sich auf eine Kampagne, die hauptsächlich auf europäische Einrichtungen für auswärtige Angelegenheiten abzielte, schreiben die Sicherheitsforscher in einer Mitteilung. Obwohl Horse Shell auf der angreifenden Infrastruktur gefunden wurde, ist unklar, wer die Opfer des Router-Implantats sind.

Aus der Vergangenheit ist bekannt, dass Router-Implantate oft auf beliebigen Geräten ohne besonderes Interesse installiert werden, um eine Verbindung zwischen den Hauptinfektionen und der eigentlichen Befehls- und Kontrollfunktion zu schaffen. Mit anderen Worten: Die Infizierung eines Heimrouters bedeutet nicht, dass der Hausbesitzer gezielt angegriffen wurde, sondern dass er nur ein Mittel zum Zweck ist, sind sich die CPR-Spezialisten sicher.

Schutz für das Netzwerk

Die Entdeckung des bösartigen Implantats von Camaro Dragon für TP-Link-Router zeigt, wie wichtig es ist, Schutzmaßnahmen gegen ähnliche Angriffe zu ergreifen. Hier sind einige Empfehlungen der Sicherheitsforscher zur Erkennung und zum Schutz, die auch für andere Router gelten:

  • Software-Aktualisierungen: Regelmäßige Aktualisierungen der Firmware und Software von Routern und anderen Geräten sind entscheidend, um Schwachstellen zu verhindern, die Angreifer ausnutzen könnten.
  • Standard-Anmeldeinformationen: Ändern Sie die Standard-Anmeldedaten für alle Geräte, die mit dem Internet verbunden sind, in sichere Passwörter und verwenden Sie, wann immer möglich, mehrstufige Authentifizierung. Angreifer scannen das Internet häufig nach Geräten, die noch Standard- oder schwache Anmeldedaten verwenden.

Die Forscher schreiben zudem: Hersteller können ihre Geräte besser vor Malware und Cyberangriffen schützen. Vorschriften wie die EU Machinery Directive verlangen von Anbietern und Herstellern, dass sie sicherstellen, dass die Geräte keine Risiken für die Benutzer darstellen und dass sie Sicherheitsfunktionen in die Geräte integrieren. Hier sehe ich bei manchen Herstellern den Knackpunkt – speziell TP-Link hat ja einige Modelle mit bekannten Schwachstellen, die aus dem Support gefallen sind und keine Sicherheitsupdates mehr bekommen.

In ihrer Mitteilung schreiben die Check Point-Research-Forscher, Netzwerksicherheitslösungen von Check Point einzusetzen – es können in meinen Augen aber auch äquivalente Produkte anderer Anbieter sein. Solche Lösungen bieten fortschrittliche Bedrohungsabwehr und Netzwerkschutz in Echtzeit gegen ausgeklügelte Angriffe, wie sie von der Camaro Dragon APT-Gruppe verwendet werden. Dazu gehört der Schutz vor Exploits, Malware und anderen hochentwickelten Bedrohungen. Die Sicherheitsforscher nennen zwei Check Point-Produkte zum Schutz:


Anzeige

  • Quantum IoT Protect identifiziert und kartiert automatisch IoT-Geräte und bewertet das Risiko, verhindert mit Zero-Trust-Profiling und -Segmentierung den unbefugten Zugriff auf und von IoT/OT-Geräten und blockiert Angriffe auf IoT-Geräte.
  • Check Point IoT Embedded mit Nano Agent® bietet einen Laufzeitschutz auf dem Gerät, der vernetzte Geräte mit integrierter Firmware-Sicherheit ermöglicht. Der Nano Agent® ist ein maßgeschneidertes Paket, das die besten Sicherheitsfunktionen bietet und bösartige Aktivitäten auf Routern, Netzwerkgeräten und anderen IoT-Geräten verhindert. Check Point IoT Nano Agent® verfügt über fortschrittliche Funktionen wie Speicherschutz, Anomalieerkennung und Kontrollflussintegrität.

Die Sicherheitsforscher haben ihre Erkenntnisse mit weiteren Details im englischsprachigen Beitrag The Dragon who sold his Camaro: Analyzing custom router implant veröffentlicht.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Geräte, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

15 Antworten zu Bösartige Firmware "Horse Shell" als Backdoor für TP-Link-Router enttarnt

  1. Stephan sagt:

    Viel Text um ein Problem, welches man nur hat, wenn man keine Original Firmware Installiert.

    Generell sollte man auf keinem Gerät eine Firmware Installieren, die man im Internet auf irgendwelchen Unseriösen seiten findet.
    Wer dies doch macht, ist selber schuld.

    • Olli sagt:

      In diesem Text steht eigentlich nichts wie die Firmware auf die Geräte gelangt ist oder doch? Wieso sollte die nicht bereits ab Werk als Supply-Chain kompromittiert worden sein und bei TP hat es keiner gemerkt?

      • Stephan sagt:

        Angenommen, die Firmware kommt durch den Hersteller, würde das ganz sicher auch im Original Beitrag erwähnt werden.

        Zusätzlich steht der Hinweis, das man seine Firmware auf jedenfall immer Aktuell halten sollte.
        Was würde dies bringen, wenn die Original Firmware schon verseucht ist.

        Da aber schon im Original Beitrag keine Angabe über die Quelle der Firmware steht,
        ist die News sowieso erstmal Blödsinn.

        – Wenn die Firmware aus einer Dubiosen Quelle stammt, sind die leute einfach nur Blöd, sich sowas zu Installieren.

        – Wenn die Firmware vom hersteller Stammt, bringt der Hinweis "Immer Aktuell sein" nichts,
        da die Verseuchte Firmwa auch mal Aktuell war, und man sich mit Aktueller Firmware eine Backdoor einfängt.

        Also egal wie es läuft, in diesem zustand ist der Blog quatsch.

        *Edit*

        Wenn man einfach mal weiter im Internet sucht, findet man sogar mehr Hinweise.

        "Die in dem Bericht erwähnte Sicherheitslücke beschreibt Router, die Firmware von Drittanbietern (keine offizielle TP-Link-Firmware) installiert haben, die mit bösartigen Anpassungen und eingebetteten Skripten infiziert sind, um Angriffe auszuführen", erklärt TP-Link in einer Stellungnahme."

        Also, wie beschrieben, die leute sind selber schuld wenn sie keine Original Firmware nehmen.

        • Pau1 sagt:

          "Da aber schon im Original Beitrag keine Angabe über die Quelle der Firmware steht,"

          Es steht nur da, das die Firmware an vielen Stellen geändert worden ist.
          Entweder wurde die Firmware dissssembliert oder es bestand Zugriff auf die Sourcen und privaten Schlüssel oder wie geht das?

          Um andere gefährdete Router zu finden wäre der Name des Betriebssystems hilfreich.

          • Fachkraft IT sagt:

            Bei einfachen Routern ist Firmware allenfalls nach einem festen Muster "verwürfelt" oder es sind einfach aneinandergehängte .zip oder .lzma Daten mit Identifiern davor/dazwischen, was man auch einfach nachbauen kann.

            Dass da irgendwo ein "privater Schlüssel" verwendet würde, ist eher ein realitätsferner Wunschtraum.

  2. T Sommer sagt:

    auf Bleeping Computer findet sich nachfolgender Passus : "While Check Point has not determined how the attackers infect TP-Link routers with the malicious firmware image, they said it could be by exploiting a vulnerability or brute-forcing the administrator's credentials."

    Interessant ist, das bei infizierten Router das Webinferface ebenfalls kastriert wurde, so das es nicht möglich sei, Firmwareupdates einzuspielen.

    Quelle: https://www.bleepingcomputer.com/news/security/hackers-infect-tp-link-router-firmware-to-attack-eu-entities/

    • Stephan sagt:

      TP-Link hat schon vor ein paar Tagen bestätigt, das es sich dabei um keine Offizielle Firmware Handelt.

    • Henry Barson sagt:

      Restore Firmware über tftp klappt aber noch.

      • Pau1 sagt:

        Für tftp mußt man aber in den Keller und Knöpfchen drücken und die Kiste neu konfigurieren.
        ist aber die sicherste Variante. Denn die hätten ja auch einen Fake Update einbauen können, der nur so tut als sei die neue Version installiert worden…

  3. Pau1 sagt:

    Es ist doch klar:
    Die Cybercriminallen haben den Router aufgemacht und dann ihre Firmware aufgespielt.
    Da steht nix von "supply chain".
    Wenn, wären ja nicht nur ein paar Router
    betroffen.

    TP.link hat das Loch gefixt das externe Root rechte gab.

    Von dem Problem können auch andere Router betroffen sein.
    Warum die cybers so auffällig das Webinterface manipuliert haben überrascht. So kann man ja schnell feststellen ob der Router kompromentiert worden ist.

    Man, was ist das alles für ein Sch*.
    Wie das kann man sich davor schützen?
    Das kann ja bei allen Routern passieren,
    nicht nur TP-links.

    • Stephan sagt:

      Die beste möglichkeit sich davor zu Schützen.

      Keine 3. Anbieter Firtmware Installieren.
      Wenn es z.b. eine Open WRT Firmware sein soll, nur von der Offiziellen seite.

      Sofern die Schadsoftware schon seitens Hersteller ungewollt Implementiert ist,
      dann kann man nichts machen.

      Modem / Router nach außen zu lassen bzw. nur per VPN.
      So kommt niemand so einfach mal drauf für ein FW Update.

      Dann ist man eigentlich auf der sicheren seite und braucht keine bedenken zu haben.

  4. Ralph D. Kärner sagt:

    Der, der das Webinterface seines Routers ohne VPN von außen erreichbar macht, gehört verhauen. Der, der seinem Router eine Firmware aufspielt, die nicht vom Hersteller stammt, gehört ebenfalls verhauen. Der, der seine Hardware nicht aktuell hält, gehört … ihr dürft raten. Es wird wohl langsam Zeit, von "das kann der Kunde alles selber machen" weg zu gehen hin zu "das ist administrative Tätigkeit, die darf nur ein Fachmann durchführen". Klappt ja bei der Gasleitung oder den Fahrzeugbremsen auch.

    • Anonymous sagt:

      Naja es wird immer Supergescheite geben, die meinen sie hätten es drauf und fabrizieren dann einen katastrophalen Schaden.
      Siehe KFZ-Bremsen… Klar tauscht man die nicht selbst *hust*

Schreibe einen Kommentar zu Ralph D. Kärner Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.