Специалисты компании Check Point Research, работающей в сфере информационной безопасности, обнаружили вредоносную прошивку для широкого спектра домашних и корпоративных маршрутизаторов TP-Link. С её помощью хакеры, предположительно поддерживаемые китайскими властями, объединяют заражённые устройства в сеть, трафик внутри которой скрытно передаётся на подконтрольные злоумышленникам серверы.

Источник изображения: Pixabay

По данным Check Point, вредоносная прошивка содержит полнофункциональный бэкдор, позволяющий хакерам устанавливать связь с заражёнными устройствами, передавать файлы, осуществлять удалённое выполнение команд, а также загружать, скачивать и удалять данные на подконтрольных устройствах. Вредоносное программное обеспечение распространяется под видом прошивки для маршрутизаторов TP-Link. Предполагается, что основная цель ПО заключается в скрытой ретрансляции трафика между заражёнными устройствами и подконтрольными хакерам серверами.

Анализ вредоносного ПО показал, что его операторы связаны с группировкой Mustang Panda, которая, по утверждению компаний Avast и ESET, поддерживается китайскими властями. Вредоносная прошивка была обнаружена в ходе расследования серии хакерских атак на европейские внешнеполитические структуры. Главным компонентом ПО является бэкдор, получивший название Horse Shell. Он позволяет осуществлять удалённое выполнение команд на заражённых устройствах, передавать файлы для загрузки на устройства жертв и выгружать данные, а также обмениваться данными между двумя устройствами с использованием протокола SOCKS5.

«Бэкдор может использоваться для ретрансляции данных между двумя узлами. Таким образом, злоумышленники могут создать цепочку узлов, которые будут передавать трафик на подконтрольный сервер. Такой подход позволяет киберпреступникам скрыть конечную точку назначения, поскольку каждый узел в цепочке имеет данные только о предыдущем и следующем узлах, каждый из которых представляет собой заражённое устройство. Лишь несколько узлов будут содержать данные о конечном узле», — говорится в сообщении Check Point.

Миллионы смартфонов по всему миру поставляются с вредоносами в прошивке прямо с заводов, сообщили эксперты компании Trend Micro на конференции Black Hat Asia. В первую очередь речь идёт о недорогих мобильных устройствах под Android, хотя их догоняют смарт-телевизоры, смарт-часы и другие гаджеты.

Источник изображения: Gerd Altmann / pixabay.com

Выпуск мобильных устройств бренды часто делегируют подрядчикам — OEM-производителям. Зачастую участвующие в этой схеме разработчики прошивок заражают их вредоносным кодом перед отправкой — об этой угрозе известно не первый год, но эксперты Trend Micro характеризуют её как «растущую проблему для рядовых пользователей и предприятий». Установка вредоносного кода сравнима с занесением в корень дерева инфекции, которая потом распространяется по всему стволу, до последней ветки и листика.

Внедрение вредоносов началось, когда рухнули цены на прошивки для мобильных телефонов. Конкуренция стала настолько яростной, что в какой-то момент прошивки стали предлагать бесплатно. Но ничего бесплатного, конечно, не бывает, и распространилась практика установки так называемых тихих плагинов. Эксперты Trend Micro проанализировали несколько десятков образцов прошивок в поисках вредоносного кода и обнаружили более 80 таких плагинов: некоторые из них продавались по закрытым каналам, а другие — открыто через соцсети и блоги.

Вредоносное ПО позволяет перехватывать SMS-сообщения, взламывать соцсети и мессенджеры, а также производить монетизацию с помощью рекламы и мошеннических схем с кликами. Злоумышленники получают доступ к данным о нажатиях клавиш на устройствах, географическом положении пользователей, их IP-адресах и прочей информации. Иногда устройства становятся прокси-серверами — выходными узлами, которые арендуются на срок до 1200 секунд.

По подсчётам исследователей, число таких заражённых устройств измеряется миллионами, а больше всего их в Юго-Восточной Азии и Восточной Европе — и сами преступники говорят о 8,9 млн единиц. Источник угрозы авторы доклада напрямую не указали, но предложили аудитории самостоятельно подумать, где находится большинство OEM-производителей и сделать выводы. Вредоносное ПО было обнаружено на устройствах как минимум 10 поставщиков, и ещё около 40 находятся в зоне риска. А способ защититься от угрозы достаточно простой: рекомендуется придерживаться продукции крупных брендов, хотя и это не может быть гарантией безопасности.

ФБР опубликовало адресованное пользователям смартфонов и других мобильных устройств предостережение с призывом воздержаться от использования бесплатных зарядных станций, установленных в общественных местах. По сведениям ведомства, многие из этих устройств могут быть подконтрольны мошенникам и киберпреступникам — подключение смартфона, планшета или ноутбука может привести к их заражению вредоносным ПО.

Источник изображения: twitter.com/FBIDenver

«Избегайте использования бесплатных зарядных устройств в аэропортах, гостиницах или торговых центрах. Злоумышленники нашли возможность использовать общедоступные USB-порты для загрузки вредоносного и шпионского ПО на устройства. Вместо этого носите с собой собственное зарядное устройство с USB-кабелем и подключайте его к розетке», — говорится в заявлении ведомства.

Рекомендации ведомство опубликовало на своём сайте. В материалах не говорится о каких-либо конкретных инцидентах, связанных с причинением ущерба потребителям при использовании публичных зарядных устройств. В офисе ФБР в Денвере заявили, что публикация носит рекомендательный характер, и никакой конкретный инцидент для этого поводом не послужил.

Тем не менее, Федеральная комиссия по связи (FCC) США ранее заявила, что схема со взломом гаджетов через общедоступные зарядные устройства и последующей загрузкой вредоносного ПО (juice jacking) известна с 2021 года. Это ПО перехватывает регистрационные данные пользователей, связанные с различными сервисами — FCC также рекомендовала пользователям избегать подключения телефонов и других гаджетов к общественным зарядным устройствам.