Исследователи информационной безопасности зафиксировали масштабную кампанию, нацеленную на пограничные сетевые устройства в Юго-Восточной Азии. Злоумышленники, которых с высокой долей уверенности связывают с КНР, выбирают для проникновения не конечные точки, а саму сетевую инфраструктуру. Такой подход позволяет обходить средства защиты на рабочих станциях и серверах, а также получать контроль над всем трафиком, проходящим через скомпрометированный маршрутизатор.
Описание
Атака начинается с получения root-доступа к пограничному маршрутизатору под управлением Linux. После этого злоумышленники загружают на устройство кастомный исполняемый файл router.elf. Это вредоносная программа, написанная для архитектуры x86-64 и собранная статически, что затрудняет её анализ. Она использует зашифрованную конфигурацию и обфусцированные строки, чтобы скрыть свои функции. Главная задача импланта - установить постоянный канал управления и связи с командным сервером через протокол DNS over HTTPS (шифрованные запросы DNS поверх HTTPS), минуя стандартные системы мониторинга DNS.
Одновременно на взломанном маршрутизаторе создаются правила межсетевого экрана iptables (система фильтрации пакетов в Linux), которые перенаправляют все DNS-запросы от устройств за маршрутизатором на подконтрольные злоумышленникам резолверы. Для этого используются два сервера-заменителя и динамический набор адресов ipset под названием evil_fix. Таким образом жертва, обращаясь к легитимному DNS-серверу, на самом деле попадает на подставной, где может получить вредоносный ответ. Атакующие выбирают нестандартный порт 8090, чтобы избежать детектирования по классическому порту 53.
Для закрепления в скомпрометированном маршрутизаторе используется второй бэкдор client_rc_start. Он служит резервным каналом доступа на случай, если основной имплант будет обнаружен и удалён.
Кроме атаки на маршрутизаторы, злоумышленники атакуют и Windows-системы. В отчёте исследователи описывают, как они доставляют на рабочие станции модифицированную версию инструмента Cobalt Strike 4.4 (пиратская копия с идентификатором лицензии 666666666). Доставка происходит через подмену библиотеки version.dll, которую загружает легитимный процесс CrashReport.exe. Такая техника называется DLL-подстановкой и позволяет обойти контроль целостности приложений.
Win-компонент использует те же домены и URI-шаблоны, что и имплант на маршрутизаторе. Например, пути /api/v1/get и /api/v1/post, одинаковые user-agent и заголовки Accept-Language: zh-CN. Интервал опроса командного сервера - 50 секунд, как и у Linux-версии. Это указывает на единое управление обеими ветвями атаки.
Контроль над пограничным маршрутизатором даёт злоумышленникам несколько ключевых возможностей. Во-первых, они получают неограниченный доступ ко всему трафику, проходящему через устройство. Во-вторых, могут отравить DNS-записи и перенаправить пользователей на фишинговые сайты, подменить обновления программного обеспечения или украсть учётные данные. В-третьих, они могут маскировать свою активность: традиционные средства защиты конечных точек не видят трафик на уровне маршрутизатора.
Технический анализ показывает высокий уровень подготовки злоумышленников. Имплант router.elf написан на C/C++ с использованием статической линковки библиотеки mbedTLS для шифрования. Конфигурация защищена многослойным шифрованием: сначала 12-байтовый ключ BOOTKEYSlot! расшифровывает начальное состояние генератора псевдослучайных чисел Xorshift, а затем этот генератор производит поток для расшифровки более 6 килобайт данных. Строки, содержащие пути к файлам или команды, скрыты простым XOR с байтом 0x5a.
В конфигурации импланта найдены домены, используемые для связи: contextlayerrun[.]com, specialclouds[.]com, namefilecode[.]com, perfectgo[.]top и другие. Все они обслуживаются через HTTPS на 443 порту. Для разрешения C2-доменов применяется сервис cloudflare-dns.com через DoH. Это позволяет обходить корпоративные DNS-фильтры.
Связь с КНР подтверждается несколькими косвенными признаками: китайскоязычные строки в теле импланта, жёстко прописанный заголовок Accept-Language: zh-CN, использование пиратской версии Cobalt Strike с характерным ключом лицензии, а также шаблоны регистрации инфраструктуры, ранее наблюдавшиеся в операциях китайских групп. Мотивация атаки - шпионаж и получение долгосрочного доступа к сетям организаций Юго-Восточной Азии.
Последствия таких атак могут быть серьёзными. Перехват DNS позволяет злоумышленникам вмешиваться в работу любого интернет-сервиса, от электронной почты до облачных хранилищ. Компании, чьи маршрутизаторы скомпрометированы, рискуют потерять конфиденциальные данные, а также стать плацдармом для атак на партнёров. Специалистам по безопасности стоит обратить внимание на целостность конфигураций пограничных устройств, использовать мониторинг DNS-трафика и внедрять многофакторную аутентификацию для доступа к сетевому оборудованию. Однако главный урок этой кампании - необходимость рассматривать маршрутизаторы и другое сетевое оборудование как критически важные активы, а не просто "чёрные ящики", и применять к ним такие же меры защиты, как к серверам и рабочим станциям.
Индикаторы компрометации
IPv4
- 23.254.129.112
- 47.81.37.109
- 8.211.130.16
- 8.213.217.130
Domains
- contextlayerrun.com
- discovercoded.com
- function.windowsoftmessages.com
- namefilecode.com
- perfectgo.top
- safelyhome.top
- specialclouds.com
- specialclouds.top
- valuecode.top
- windowsweatherkb.top
MD5
- 20c196fd5cf9a4845d048006321a52b8
- 6401cdc783b4afcbcc294954b4cc5dd2
- 92ed4d259940d4294190e60add5cc587
SHA256
- 6a43de021fa79dc3eb5f6ed509b605ef617f56af7de8b136698e5dd86c7775ae
