Check Point Research (CPR) hat Cyberangriffen auf Einrichtungen europäischer Staaten für auswärtige Angelegenheiten untersucht. Die Sicherheitsforscher führen sie auf die vom chinesischen Staat gesponserte APT-Gruppe "Camaro Dragon" zurück. Bei der Infrastruktur dieser Aktivitäten gibt es CPR zufolge erhebliche Überschneidungen mit Aktivitäten der als "Mustang Panda" bezeichneten Gruppe. Außerdem entdeckten die Sicherheitsforscher dabei ein bösartiges Firmware-Implantat für TP-Link-Router.
Das Firmware-Implantat für das Modell TL-WR940N enthält mehrere schädliche Komponenten. Dazu gehört auch eine modifizierte Variante der als "Horse Shell" bezeichnete Backdoor. Sie ermöglicht es Angreifern, die volle Kontrolle über infizierte Geräte zu übernehmen, unentdeckt zu bleiben und auf kompromittierte Netzwerke zuzugreifen.
"Die in dem Bericht erwähnte Sicherheitslücke beschreibt Router, die Firmware von Drittanbietern (keine offizielle TP-Link-Firmware) installiert haben, die mit bösartigen Anpassungen und eingebetteten Skripten infiziert sind, um Angriffe auszuführen", erklärt TP-Link in einer Stellungnahme. "Der Bericht von CPR lässt eine Erklärung, wie betroffene Geräte sich infiziert haben, offen. Wir empfehlen unseren Nutzern dringend, keine inoffizielle Drittanbieter-Firmware zu verwenden. Wir veröffentlichen regelmäßig aktuelle Firmware, um die Gerätesicherheit zu verbessern und gemeldete Sicherheitslücken zu schließen", so das Unternehmen weiter. Benutzern empfiehlt es, ihre WLAN-Router auf die jeweils neueste offizielle Firmware zu aktualisieren Für das betroffene Modell 940N findet sich die hier.
"Aus der Vergangenheit ist bekannt, dass Router-Implantate oft auf beliebigen Geräten ohne besonderes Interesse installiert werden, um eine Verbindung zwischen den Hauptinfektionen und der eigentlichen Befehls- und Kontrollfunktion zu schaffen", ordnet Check Point Research seine Erkenntnisse ein. "Mit anderen Worten: Die Infizierung eines Heimrouters bedeutet nicht, dass der Hausbesitzer gezielt angegriffen wurde, sondern dass er nur ein Mittel zum Zweck ist."
Die Entdeckung des Implantats von Camaro Dragon für den TP-Link-Router zeige jedoch, wie wichtig es sei, Schutzmaßnahmen gegen ähnliche Angriffe zu ergreifen. Check Point Software empfiehlt dazu neben der Nutzung von Sicherheits-Software die regelmäßige Aktualisierungen der Firmware und Software, die Standard-Anmeldedaten für alle mit dem Internet verbunden Geräte in sichere Passwörter zu ändern und sofern möglich eine mehrstufige Authentifizierung zu verwenden.
Warnung vor Schwachstellen in Netgear-Routern
Mit Firefox mehr Sicherheit & Datenschutz beim Surfen erreichen