Check Point Research’ten (CPR) siber güvenlik araştırmacıları, ev ve ofis yönlendiricileri için yeni bir arka kapı keşfetti (yeni sekmede açılır).
Araştırmacılar, Horse Shell adlı arka kapının, tehdit aktörlerine virüs bulaşmış son nokta üzerinde tam kontrol sağlamanın yanı sıra gizli kalmalarına ve daha geniş ağa erişim sağlamalarına izin verdiğini söylüyor.
CPR’ye göre saldırının arkasındaki grup, Çin hükümetiyle doğrudan bağlantılı bir Çin Gelişmiş Kalıcı Tehdit (APT) grubu olan Camaro Dragon’dur. Altyapısı, başka bir devlet destekli Çinli saldırgan olan Mustang Panda’nın altyapısıyla da “önemli ölçüde örtüşüyor”.
Zayıf güvenlikli cihazları hedefleme
Araştırmacılar Horse Shell’i TP-Link yönlendiricilerinde bulurken, kötü amaçlı yazılımın sabit yazılımdan bağımsız olduğunu ve belirli markaları hedeflemediğini iddia ediyorlar. Bunun yerine, “çok çeşitli cihazlar ve satıcılar risk altında olabilir” diyorlar ve saldırganların bilinen güvenlik açıkları olan veya zayıf ve kolayca tahmin edilebilir oturum açma kimlik bilgilerine sahip donanımları tercih etme olasılıklarının daha yüksek olduğunu öne sürüyorlar.
Ayrıca kampanyanın hedefinin kim olduğunu tam olarak belirleyemediler. Camaro Dragon, Avrupa dışişleri kuruluşlarına ait yönlendiricilere Horse Shell yüklemeye çalışırken, kimin peşinden gittiklerini söylemek zor.
CPR, “Geçmişten öğrenerek, ana enfeksiyonlar ile gerçek komuta ve kontrol arasında bir düğüm zinciri oluşturmak amacıyla, yönlendirici implantlar genellikle özel bir ilgi olmaksızın keyfi cihazlara kurulur” diye açıklıyor. “Başka bir deyişle, bir ev yönlendiricisine virüs bulaştırmak, ev sahibinin özel olarak hedeflendiği anlamına gelmez, bunun yerine yalnızca bir amaca ulaşmak için bir araç oldukları anlamına gelir.”
İşletmeler, Camaro Dragon, Mustang Panda ve diğer kötü niyetli aktörlere karşı korunmak için yönlendiricilerin ve diğer cihazların ürün yazılımını ve yazılımını düzenli olarak güncellemelidir; şifreleri ve diğer oturum açma kimlik bilgilerini düzenli olarak güncellemek ve mümkün olduğunda çok faktörlü kimlik doğrulamayı (MFA) kullanmak; ve son teknoloji uç nokta koruma çözümleri, güvenlik duvarları ve diğer antivirüs programlarını kullanmak.
Son olarak, işletmeler, oturum açma kimlik bilgilerini bilmeden kötü niyetli kişilerle paylaşmadıklarından emin olmak için çalışanlarını kimlik avı ve sosyal mühendisliğin tehlikeleri konusunda eğitmelidir.