Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Routery TP-Link z wszczepionym backdoorem

Routery TP-Link z wszczepionym backdoorem

Kapitan Hack / Cybernews / Routery TP-Link z wszczepionym backdoorem

Badacze z Check Point odkryli, że sponsorowana przez państwo chińska grupa APT wszczepiła złośliwe oprogramowanie układowe do routerów TP-Link. Backdoor został utworzony w ramach kampanii ataków wymierzonych w europejskie podmioty zajmujące się sprawami zagranicznymi.

Autor: 3 min czytania

Odkrycia te są wynikiem długofalowego działania, w którym sprawdzane jest oprogramowanie układowe różnych urządzeń.

„W ostatnich latach obserwujemy rosnące zainteresowanie chińskich cyberprzestępców włamywaniem się do urządzeń brzegowych, mając na celu zarówno zbudowanie odpornej i bardziej anonimowej infrastruktury C&C, jak i zdobycie przyczółka w określonych sieciach docelowych”.

Złośliwe oprogramowanie zostało stworzone wyłącznie dla routerów TP-Link. Wśród wielu szkodliwych komponentów znajduje się również dostosowany backdoor o nazwie „Horse Shell”.

Horse Shell ma trzy główne funkcje:

  • zdalna powłoka — zapewnia cyberprzestępcom pełny dostęp do zainfekowanego urządzenia,
  • przesyłanie plików — umożliwia podmiotom odpowiedzialnym za zagrożenia przesyłanie i pobieranie plików do i z zainfekowanego urządzenia,
  • tunelowanie SOCKS — umożliwia cyberprzestępcom zaciemnianie źródła i miejsca docelowego ruchu oraz ukrywanie C2 przed obrońcami.

Backdoor umożliwia atakującym przejęcie pełnej kontroli nad urządzeniem i pozostawanie w ukryciu podczas uzyskiwania dostępu do zaatakowanych sieci.

Jak modyfikowane są urządzenia?

Ustalono, że do otrzymanego oprogramowania układowego dodano wiele plików, a kilka innych zostało zmodyfikowanych:

Dodane pliki:

  • /usr/bin/sheel,
  • /usr/bin/shell,
  • /usr/bin/timer,
  • /usr/bin/udhcp.

Zmodyfikowane pliki:

  • /etc/rc.d/rcS,
  • /web/userRpm/SoftwareUpgradeRpm.htm.
TP Link zainfekowany firmware - horse shell
Źródło: Checkpoint

Badacze nie są pewni, w jaki sposób atakujący zdołali zainfekować routery, ale uważają, że prawdopodobnie uzyskali oni dostęp, wykorzystując znane luki w zabezpieczeniach lub domyślne, słabe bądź łatwe do odgadnięcia hasła.

Chociaż kampanie były skierowane do europejskich podmiotów spraw zagranicznych, badacze nie wiedzą, kim są ofiary implantu routera.

„Ucząc się z historii, implanty routerów są często instalowane na dowolnych urządzeniach bez szczególnego zainteresowania, w celu stworzenia łańcucha węzłów między głównymi infekcjami a rzeczywistym dowodzeniem i kontrolą. Innymi słowy, zainfekowanie routera domowego nie oznacza, że właściciel domu był konkretnie celem ataków, ale raczej, że są one jedynie środkiem do celu” – wyjaśnili badacze.

Szczegóły na temat backdoora znajdziecie tutaj.

Dla zainteresowanych tematyką hakowania urządzeń – pisaliśmy niedawno o tym, jak można utworzyć backdoor (implant) w urządzeniu Dell.

Popularne

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku

Pojawiła się groźna luka, oznaczona jako CVE-2025-59287, pozwalająca atakującym na zdalne wykonanie kodu w systemach z rolą Windows Server Update Services („WSUS”). Co gorsza, został już udostępniony publiczny ex...
5 min czytania 27 paź 2025 08:00
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz się do grona tych szczęściarzy, którzy pracuj...
10 min czytania 20 sty 2020 12:00
Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych

Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych

Najnowsze badania firmy Tenable ujawniają zestaw co najmniej siedmiu poważnych podatności w modelach AI GPT‑4o i GPT‑5, wykorzystywanych przez ChatGPT, które umożliwiają złośliwym podmiotom przejęcie k...
5 min czytania 6 lis 2025 08:00
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...
5 min czytania 5 cze 2019 08:00
Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa

Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa

W ostatnich miesiącach coraz mocniej zintensyfikowane działania cybernetyczne skierowane przez podmioty powiązane z Rosją na instytucje ukraińskie rzucają nowe światło na metody rozgrywania współczesnego konfliktu...
5 min czytania 31 paź 2025 08:00
Popularne
Alarm dla administratorów i działów bezpieczeństwa – krytyczna luka CVE-2025-59287 w Windows Server Update Services wykorzystywana przez cyberprzestępców! Zabezpiecz się, zanim Twoja infrastruktura padnie ofiarą ataku
Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?
Nowo odkryte podatności w ChatGPT pozwalają przekonać chatbota do ujawnienia wrażliwych danych
Jak zmienić nieznane/zapomniane hasło Administratora na Windows?
Cicha persystencja – jak rosyjskie kampanie APT atakują firmy w Ukrainie. Porady dla działów bezpieczeństwa
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.