{"id":281333,"date":"2023-05-20T00:04:00","date_gmt":"2023-05-19T22:04:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=281333"},"modified":"2023-05-18T08:19:18","modified_gmt":"2023-05-18T06:19:18","slug":"bsartige-firmware-horse-shell-als-backdoor-fr-tp-link-router-enttarnt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/05\/20\/bsartige-firmware-horse-shell-als-backdoor-fr-tp-link-router-enttarnt\/","title":{"rendered":"Bösartige Firmware "Horse Shell" als Backdoor für TP-Link-Router enttarnt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Sicherheitsforscher von Check Point Research (CRP) sind bei der Analyse von Cyberangriffe auf europ\u00e4ische Einrichtungen auf ein Backdoor namens \"Horse Shell\" gesto\u00dfen. Diese wurde von einer vom chinesischen Staat gesponserten APT-Gruppe namens \"Camaro Dragon\" als Firmware auf TP-Link-Routern eingeschleust. Check Point Research (CRP) hat mir die Tage Details bereitgestellt, die ich nachfolgend im Blog ver\u00f6ffentliche.<\/p>\n

<\/p>\n

\"\"Es war eine Reihe von gezielten Cyberangriffen auf europ\u00e4ische Einrichtungen f\u00fcr ausw\u00e4rtige Angelegenheiten, die die Sicherheitsexperten von Check Point Research (CPR) auf den Plan riefen. Bei der Analyse der Angriffe stie\u00dfen die Sicherheitsforscher dann auf ein b\u00f6sartiges Firmware-Implantat f\u00fcr TP-Link-Router, welches eine angepasste Backdoor namens \"Horse Shell\" beinhaltet. Die Backdoor erm\u00f6glichte es Angreifern die volle Kontrolle \u00fcber das infizierte Ger\u00e4t zu \u00fcbernehmen, unentdeckt zu bleiben und auf kompromittierte Netzwerke zuzugreifen.<\/p>\n

Die Sicherheitsexperten von Check Point Research (CPR) weisen die vom chinesischen Staat gesponserte APT-Gruppe namens \"Camaro Dragon\" als Urheber der Angriffe und der b\u00f6sartigen Firmware aus. Diese Aktivit\u00e4ten weisen erhebliche infrastrukturelle \u00dcberschneidungen mit Aktivit\u00e4ten auf, die \u00f6ffentlich mit \"Mustang Panda\" in Verbindung gebracht werden, schreiben die Sicherheitsforscher.<\/p>\n

Die gr\u00fcndliche Analyse der Cyberangriffe konnte die b\u00f6sartigen Taktiken aufdecken, und die Sicherheitsforscher von CPR haben eine detaillierte Analyse ver\u00f6ffentlicht. Die Erkenntnisse \u00fcber die Funktionsweise des Implantats erm\u00f6glichen es auch, diese mit anderen Router-Implantaten zu vergleichen, die mit anderen vom chinesischen Staat gesponserten Gruppen in Verbindung gebracht werden. Durch die Untersuchung dieses Implantats m\u00f6chte CPR Licht in die Techniken und Taktiken der APT-Gruppe bringen. Ziel ist es, ein besseres Verst\u00e4ndnis daf\u00fcr zu entwickeln, wie Bedrohungsakteure b\u00f6sartige Firmware-Implantate in Netzwerkger\u00e4ten f\u00fcr ihre Angriffe nutzen.<\/p>\n

Der Cyberangriff<\/h2>\n

Die Untersuchung der \"Camaro Dragon\"-Aktivit\u00e4ten bezog sich auf eine Kampagne, die haupts\u00e4chlich auf europ\u00e4ische Einrichtungen f\u00fcr ausw\u00e4rtige Angelegenheiten abzielte, schreiben die Sicherheitsforscher in einer Mitteilung. Obwohl Horse Shell auf der angreifenden Infrastruktur gefunden wurde, ist unklar, wer die Opfer des Router-Implantats sind.<\/p>\n

Aus der Vergangenheit ist bekannt, dass Router-Implantate oft auf beliebigen Ger\u00e4ten ohne besonderes Interesse installiert werden, um eine Verbindung zwischen den Hauptinfektionen und der eigentlichen Befehls- und Kontrollfunktion zu schaffen. Mit anderen Worten: Die Infizierung eines Heimrouters bedeutet nicht, dass der Hausbesitzer gezielt angegriffen wurde, sondern dass er nur ein Mittel zum Zweck ist, sind sich die CPR-Spezialisten sicher.<\/p>\n

Schutz f\u00fcr das Netzwerk<\/h2>\n

Die Entdeckung des b\u00f6sartigen Implantats von Camaro Dragon f\u00fcr TP-Link-Router zeigt, wie wichtig es ist, Schutzma\u00dfnahmen gegen \u00e4hnliche Angriffe zu ergreifen. Hier sind einige Empfehlungen der Sicherheitsforscher zur Erkennung und zum Schutz, die auch f\u00fcr andere Router gelten:<\/p>\n