Bei der Untersuchung einer Reihe von gezielten Cyber-Angriffen auf europäische Einrichtungen für auswärtige Angelegenheiten haben Cyber-Sicherheitsexperten einer US-amerikanisch-israelischen Firma Malware entdeckt, die speziell für Router des chinesischen Herstellers TP-Link entwickelt worden ist. Die verschiedenen bösartigen Komponenten der Malware ermöglichen Angreifern unter anderem, über eine spezifisch konfigurierte Backdoor die volle Kontrolle über das infizierte Endgerät zu übernehmen, unentdeckt zu bleiben und auf kompromittierte Netzwerke zuzugreifen.
Um ein besseres Verständnis dafür zu entwickeln, wie Bedrohungsakteure bösartige Firmware-Implantate in Netzwerkgeräten konfigurieren und für ihre Angriffe nutzen, hat eine Research-Team des IT-Sicherheitsunternehmens Check Point nun eine detaillierte Analyse der Malware durchgeführt, wobei aus der Vergangenheit bekannt ist, dass Router-Implantate oft auf beliebigen Geräten ohne besonderes Interesse installiert werden, um eine Verbindung zu potentiell anzusteuernden Netzwerken zu schaffen. Mit anderen Worten: Wenn der Router eines Nutzers infiziert wird, bedeutet dies nicht, dass dieser Nutzer gezielt angegriffen werden sollte, sondern eher, dass er ein Mittel zum Zweck ist.
Die Sicherheitsforscher haben nun die verschiedenen schädlichen Komponenten, die das entdeckte bösartige Firmware-Implantat enthält, mit anderen Angriffen verglichen, die nicht speziell für TP-Link-Router erstellt wurden. Insbesondere die für diesen Angriff angepasste Backdoor namens „Horse Shell“ hat ihnen dabei Erkenntnisse geliefert und führte sie auf die Spur einer vom chinesischen Staat gesponserten APT-Gruppe. Diese Akteure sind jedoch keine Unbekannten und werden von Sicherheitsexperten, darunter auch das Check-Point-Research-Team, unter dem Namen „Camaro Dragon“ geführt. Die untersuchten Aktivitäten wiesen laut Check Point zudem erhebliche infrastrukturelle Überschneidungen mit Aktivitäten auf, die von kritischen Stimmen mit „Mustang Panda“ in Verbindung gebracht werden. Nutzer können als Schutzmaßnahme gegen solche und ähnliche Angriffe derzeit nicht viel mehr tun, als auf professionelle Sicherheitslösungen zurückzugreifen und darauf zu achten, dass sie regelmäßig sämtliche Aktualisierungen zu Firmware und Software von Routern und anderen Geräten durchführen, um zu verhindern, dass Angreifer Schwachstellen ausnutzen können.
