Camaro Dragon APT Group Exploits TP-Link Routers With Custom Implant
2023/05/16 InfoSecurity — Camaro Dragon という名の、中国に支援される APT グループが、悪意のファームウェアのインプラントを介して、TP-Link ルーター群を悪用していることが確認された。この発見は、Check Point Research (CPR) のセキュリティ専門家によるものであり、今日の未明に同社が発表したアドバイザリに、その内奥が記載されている。
CPR Threat Intelligence Team の Itay Cohen と Radoslaw Madej は、「このインプラントは、Horse Shell という名のカスタム・バックドアを取り込んだ、複数の悪意のコンポーネントを備えており、攻撃者による持続的なアクセスを保持し、匿名のインフラを構築し、侵害したネットワーク上での横移動を可能にする」と述べている。
さらに、このインプラント・コンポーネント群は、さまざまなベンダーから供給される、各種ファームウェアとの互換性があるように設計されている。
CPR のレポートには、「修正された TP-Link のファームウェアのイメージ内で、インプラントされたコンポーネントが発見された。しかし、それらはファームウェアに特化しない方法で書かれており、特定のベンダーや製品を対象にしたものではない。そのため、さまざまなベンダーから供給される、各種ファームウェアにも取り込まれる可能性がある。具体的な証拠は見つかっていないが、過去のインシデントでは、各ベンダーの多様なルーターやデバイスに、同様のインプラントやバックドアが導入されていることが実証されている」と述べている。
その一方で CPR は、このファームウェア・イメージが、感染したルーターにインストールされた方法や、実際の侵入で使用されている方法については、現時点でも不明だとしている。
同社のアドバイザリには、「攻撃者は、既知の脆弱性をスキャンしたのかもしれない。また、認証においてデフォルト・パスワードや、脆弱で推測しやすいパスワードを使用しているデバイスを標的にして、不正アクセスを達成した可能性が高い」と記されている。攻撃者の目的は、感染させたデバイスと C2 サーバの間で、ノードのチェーンを作ることにあるようだ。その場合、特に興味のない任意のデバイスに、インプラントをインストールしている可能性が高い」と記されている。
研究者たちによると、今回の発見は、インターネット上で一般に公開されているネットワーク機器を悪用し、そこに含まれるソフトウェアやファームウェアを操作するという、中国のハッカーたちが多用するパターンであるという。
同様の攻撃から身を守るために、CPR がシステム防衛者に推奨しているのは、ネットワーク保護の実施/システムの更新/デフォルトの認証情報の変更である。
推奨事項の完全なリストおよび、Horse Shell に関する技術的な詳細は、CPR のアドバイザリで入手できる。
この情報だけでは、具体的なレベルの話が、つまり、何をどうすれば良いのかが、まったく分かりませんが、とにかく注意しておいたほうが良さそうです。気になるのは、「このインプラント・コンポーネント群は、さまざまなベンダーから供給される、各種ファームウェアとの互換性があるように設計されている」という部分です。この領域も、複雑なサプライチェーンで構成されていると、捉えておくべきなのでしょうか?以下は、最近の TP-Link 関連記事です。よろしければ、ご参照ください。
2023/04/25 :TP-Link の脆弱性 が FIX:Mirai も検出
2023/01/18:TP-Link/NetComm ルーターに脆弱性
IoT OT Security News 
You must be logged in to post a comment.