Posté le mai 17, 2023 à 4:44

DES CHERCHEURS DÉTECTENT DES HACKERS SOUTENUS PAR LA CHINE QUI EXPLOITENT DES ROUTEURS TP-LINK

Mustang Panda, un groupe de hackers Chinois, a été associé à plusieurs attaques sophistiquées et ciblées visant des organisations d’affaires étrangères situées en Europe. Les attaques semblent avoir commencé en janvier 2023.

Mustang Panda exploite les routeurs TP-Link

La nature des attaques menées par le groupe d’acteurs de menaces en exploitant les routeurs TP-Link a été confirmée par les chercheurs en cybersécurité de Check Point. Les chercheurs en question, Itay Cohen et Radoslaw Madej, ont mis en évidence un impact de micrologiciel personnalisé qui a été créé exclusivement pour être utilisé dans les routeurs TP-Link.

Un rapport de l’entreprise indique que l’implant personnalisé contient de multiples fonctions malveillantes. Ces fonctionnalités permettent aux hackers de lancer des attaques persistantes et d’accéder à des réseaux compromis, où ils peuvent naviguer pour recueillir des informations.

« L’implant comporte plusieurs composants malveillants, dont une porte dérobée personnalisée nommée ‘Horse Shell’ qui permet aux attaquants de maintenir un accès persistant, de construire une infrastructure anonyme et de permettre un mouvement latéral dans les réseaux compromis », indique le communiqué publié par l’entreprise.

La déclaration publiée par l’entreprise précise aussi que l’implant a une conception agnostique en matière de micrologiciel. Les caractéristiques de l’implant peuvent être intégrées dans divers microprogrammes utilisés par plusieurs fournisseurs.

Check Point, une société de cybersécurité basée en Israël, a déclaré qu’elle suivait ce groupe de hackers utilisant le nom d’une créature mythique connue sous le nom de Camaro Dragon. Il est également connu sous d’autres noms tels que RedDelta, Earth Preta, HoneyMyte, Red Lich, RedDelta, Bronze President et BASIN.

Quelques détails sur l’attaque

Les chercheurs n’ont pas encore détecté la méthode utilisée par le hacker pour lancer les images du micrologiciel affecté sur les routeurs concernés. L’utilisation de ce micrologiciel et son utilisation pour mener des attaques réelles restent également inconnues.

Toutefois, on soupçonne que l’accès initial a pu être obtenu lorsque le hacker a exploité une faille de sécurité connue. Les auteurs de la menace pourraient aussi avoir mené une attaque par force brute et obtenu l’accès initial en utilisant des mots de passe par défaut ou des mots de passe faciles à deviner.

Cependant, les chercheurs ont détecté que l’implant Horse Shell basé sur C++ permet aux attaquants d’exécuter facilement des commandes shell arbitraires. Ils peuvent également télécharger des fichiers vers et depuis le routeur. Ils peuvent par ailleurs relayer la communication entre deux clients différents.

Le micrologiciel exploité est aussi capable de tromper les utilisateurs. Il dissimule son activité de manière à ce que l’utilisateur ne puisse pas détecter la possibilité de flasher une autre image à l’aide de l’interface web du routeur. La porte dérobée du routeur aurait ciblé non seulement des organisations, mais aussi des particuliers.

La porte dérobée du routeur aurait ciblé des dispositifs arbitraires présents sur les réseaux résidentiels et domestiques. Il semblerait que les routeurs concernés aient été cooptés au sein d’un réseau maillé. L’objectif de ce groupe d’acteurs de la menace est de créer une chaîne de nœuds à partir des principales infections et du véritable système de commande et de contrôle.

Le micrologiciel relaie en outre les communications entre les appareils infectés à l’aide d’un tunnel SOCKS. L’objectif de cette activité malveillante est d’obtenir une couche supplémentaire d’anonymat tout en cachant le serveur final. Chaque nœud de la chaîne est accompagné d’informations sur les nœuds qui le précèdent. Cependant, il ne contient pas d’informations sur le nœud qui lui succède.

Les méthodes utilisées par les hackers, dans ce cas, cachent l’origine et la destination du trafic d’une manière analogue à TOR. Ces méthodes rendent difficile l’identification de l’ampleur de l’attaque, et il devient également difficile pour les systèmes de sécurité mis en place de la perturber.

Les chercheurs ont de plus expliqué que si un seul nœud de la chaîne a été infecté ou mis hors service par le hacker, ce dernier peut toujours maintenir la communication avec le C2 en acheminant le trafic via un autre nœud de la chaîne.

Ce n’est pas non plus la première fois que des hackers basés en Chine utilisent un réseau de routeurs infectés pour mener des attaques de piratage. En 2021, l’Agence nationale de cybersécurité française (ANSSI) a publié une déclaration détaillant une attaque menée par le groupe de hackers APT31, aussi connu sous le nom de Judgement Panda of Violet Typhoon.

À l’époque, l’ANSSI avait indiqué que le groupe d’acteurs de la menace avait utilisé un logiciel malveillant connu sous le nom de Pakdoor ou SoWat pour mener à bien ses exploits de hackers. Ce logiciel malveillant permettait aux routeurs infectés de communiquer entre eux, ce qui augmentait considérablement la portée de l’attaque.

Dans le récent rapport, les chercheurs de Check Point ont déclaré que la récente découverte était un autre exemple de la tendance établie par les acteurs de hackers Chinois. Ces derniers réalisent des exploits de piratage pour cibler les dispositifs de réseau connectés à Internet et modifier le logiciel ou le micrologiciel sous-jacent.