هکرهای چینی گروه «PlushDaemon» با آلوده‌کردن روترها، به‌روزرسانی‌های نرم‌افزار را دستکاری می‌کنند!

بازی هوشمندانه‌ای در زمینه به‌روزرسانی نرم‌افزار باعث شده است که تهدید پیشرفته و تحت حمایت دولت چین (APT) توسط گروه «PlushDaemon» بدون جلب توجه، عمدتاً سازمان‌های چینی را هدف قرار دهد.

بازی با به‌روزرسانی‌های نرم‌افزار

بیش از پنج سال است که گروه «PlushDaemon» هماهنگ با دولت چین با آلوده کردن به‌روزرسانی‌های نرم‌افزار، سازمان‌های چینی را زیر نظر دارد.

وقتی نفوذ SolarWinds در سال ۲۰۲۰ کشف شد، به نظر می‌رسید که این یک رخداد منحصر به فرد در تاریخ امنیت سایبری است. اما از آن زمان تاکنون، مهاجمان و محققان امنیتی راه‌های جدید و هوشمندانه‌ای برای آلوده کردن به‌روزرسانی‌های نرم‌افزار پیدا کرده‌اند.

«PlushDaemon» یکی از همین گروه‌هاست که مدتی طولانی، به روش خود به ربایش به‌روزرسانی‌ها می‌پردازد. مانند دیگر تهدیدات پیشرفته چینی، این گروه سازمان‌ها را از طریق دستگاه‌های مرزی شبکه (Edge Devices) آلوده می‌کند. اما تفاوت PlushDaemon با دیگر APTها در این است که از دستگاه‌های لبه برای ربایش ترافیک شبکه استفاده کرده و درخواست‌های به‌روزرسانی قانونی را به زیرساخت‌های خود هدایت می‌کند و نسخه‌های مخرب جایگزین ارائه می‌دهد.

استفاده از دستگاه‌های مرزی برای ارائه به‌روزرسانی‌های مخرب

حملات PlushDaemon با آلوده کردن یک روتر یا دستگاه مشابه در مسیر ورود و خروج شبکه آغاز می‌شود، معمولاً از طریق آسیب‌پذیری نرم‌افزاری یا استفاده از رمزهای پیش‌فرض و قابل حدس. پس از نفوذ، بدافزار اختصاصی این گروه به نام EdgeStepper نصب می‌شود.

EdgeStepper به زبان Go نوشته شده، به صورت فایل ELF کامپایل شده و مخصوص پردازنده‌های MIPS32 ساخته شده است. هرچند این پردازنده‌ها امروزه کمتر رایج‌اند، اما هنوز در بسیاری از روترها و دستگاه‌های اینترنت اشیاء (IoT) کاربرد دارند.

این بدافزار بین کاربر و وب‌سایت‌هایی که قصد دسترسی به آن‌ها را دارد قرار می‌گیرد و درخواست‌های DNS را رهگیری کرده و به زیرساخت PlushDaemon هدایت می‌کند.

PlushDaemon تنها نرم‌افزارهای خاصی را هدف قرار می‌دهد، از جمله:

• ویرایشگر ورودی Sogou Pinyin

• سرویس ابری Baidu Netdisk

• پیام‌رسان Tencent QQ

• مجموعه اداری رایگان WPS Office

هنگامی که یکی از این برنامه‌ها درخواست به‌روزرسانی می‌دهد، EdgeStepper آدرس IP اصلی را با IP مخرب PlushDaemon جایگزین کرده و دانلود مخرب را آغاز می‌کند.

در مرحله نهایی، کاربر به طور ناخواسته بدافزار بکدور SlowStepper را دریافت می‌کند. SlowStepper یک بک‌دور مدولار است که می‌تواند رمز عبور، فایل‌های محلی، کوکی‌های مرورگر، اطلاعات WeChat و تصاویر صفحه را سرقت کند.

سوالات بی‌پاسخ درباره PlushDaemon

سوالاتی درباره PlushDaemon هنوز مطرح است، مانند اینکه چرا این APT چینی عمدتاً سازمان‌های چینی را هدف قرار می‌دهد.

اکثر قربانیان این گروه در چین یا هنگ‌کنگ هستند، از جمله یک تولیدکننده تایوانی در سرزمین اصلی و یک دانشگاه در پکن. سایر قربانیان از تایوان، کامبوج، نیوزیلند و آمریکا بوده‌اند، اما نرم‌افزارهای هدف‌گیری شده به‌طور عمدتاً چینی بوده است.

این گروه از سال ۲۰۱۸ فعال بوده و طرح ربایش به‌روزرسانی‌ها از سال ۲۰۱۹ شروع شده است، اما تاکنون توجه زیادی به خود جلب نکرده است.

محقق امنیتی ESET، Facundo Muñoz، توصیه می‌کند که تمرکز روی مرحله اول زنجیره حمله باشد: محافظت از دستگاه‌های شبکه و بررسی آسیب‌پذیری‌ها و اعتبارنامه‌ها.

منابع: