中国の国家支援を受けているハッカーグループであるムスタングパンダが、2023年1月以降、ヨーロッパの外交機関を標的とした高度で狙いの定められた攻撃に関連しているとされています。

チェックポイントの研究者であるイタイ・コーエンとラドスロフ・マディは、これらの侵入に関する分析を行い、TP-Linkルーター用に特別に設計されたカスタムファームウェアの埋め込みを明らかにしました。

同社は、「この埋め込みには、攻撃者が持続的なアクセスを維持し、匿名のインフラを構築し、侵害されたネットワーク内での横方向の移動を可能にする『Horse Shell』というカスタムバックドアを含むいくつかの悪意のあるコンポーネントが含まれています」と述べています。

この埋め込みは、異なるベンダーのさまざまなファームウェアに統合できるように、ファームウェアに依存しない設計となっています。

イスラエルのサイバーセキュリティ企業であるチェックポイントは、この脅威グループをカマロドラゴンという架空の生物の名前で追跡しており、またBASIN、Bronze President、Earth Preta、HoneyMyte、RedDelta、Red Lichとも呼ばれています。

感染したルーターに改ざんされたファームウェアイメージを展開する具体的な手法や、実際の攻撃における利用方法は現時点では不明です。既知のセキュリティの脆弱性を悪用したり、デフォルトのパスワードを使用したりすることによって、初期アクセスが取得された可能性があります。

確定情報としては、C++ベースのHorse Shell埋め込みが、攻撃者に任意のシェルコマンドの実行、ルーターとのファイルのやり取り、および異なるクライアント間の通信の中継を可能にしていることがわかっています。また、改ざんされたファームウェアは、ルーターのウェブインターフェースを介して別のイメージをフラッシュする機能をユーザーから隠します

私について:
東京を拠点にサイバーセキュリティの実践スペシャリストとして活動しています。私の日本語は完璧ではありませんが、あなたと快適に話すことができます。ここで私を見つけることができます -
LinkedIn - https://www.linkedin.com/in/arpitjain099/
GitHub - https://github.com/arpitjain099

私はこのブログを情熱的なプロジェクトとして運営しています。コーヒーを買うことで、私の仕事をサポートすることができます - https://www.buymeacoffee.com/arpitjain099