חוקרי חברת האבטחה הישראלית צ'ק פוינט חשפו השבוע כי קושחה זדונית עשויה לסכן מגוון של נתבי רשת ביתיים ושל משרדים קטנים, ולהפוך אותם לרשת הנשלטת בידי האקרים בעלי קשרים לממשלה הסינית. לפי החשיפה של צ'ק פוינט, עדכון הקושחה לנתבים כולל דלת אחורית, המאפשרת להאקרים להקים רשת שליטה והעברת קבצים על גבי הנתב המותקף, ולהעביר אליו פקודות מרחוק לרבות העלאה, הורדה ומחיקת קבצים.
המתקפה אמנם נכתבה על קושחה של נתבי TP-LINK אולם היא "אדישת דגם", מה שאומר שאפשר ליישם אותה לנתבים נוספים. מטרתה העיקרית של הנוזקה, כך נראה, הוא להעביר מידע בין מטרת התקיפה ושרתי השליטה של התוקף, בצורה שממסכת את מקור ההתקפה על הקורבן המיועד.
בעזרת מחקר נוסף, גילו אנשי צ'ק פוינט כי מבנה השליטה והשרתים מקושרים ל-"מוסטנג פנדה", שחקן איום מתמשך (APT), שזוהה בעבר גם על ידי חברות כמו Avast ו-ESET, כקבוצה הפועלת מטעם הממשלה הסינית.
חוקרי צ'ק פוינט גילו את הקוד המושתל במהלך חקירה של סדרת התקפות ממוקדות נגד אישים אירופים המעורבים בענייני מדיניות חוץ. הרכיב העיקרי של הדלת האחורית הוא קוד שזכה לכינוי Horse Shell, קוד זדוני שמסוגל להריץ פקודות מרחוק על המכשיר הנגוע, להעביר קצבים אליו וממנו, ולהעביר מידע לכתובת IP ספציפית באמצעות פרוטוקול SOCKS5, שזו הייתה המטרה העיקרית של שתילת הקוד. על ידי יצירת שרשת של נתבים נגועים שמקימים ביניהם קשר מוצפן, שבו רק שתי החוליות הקרובות חשופות אחת לשניה, קשה לאתר את מקור התקיפה.
תום מלכה, ראש מחקר סייבר בקבוצת Rakia, מציין בשיחה עם וואלה! כי מדובר בטקטיקה מוכרת. "זהו ניצול של נתבים עם גרסאות פגיעות על מנת להוציא מתקפות תחת מעטה אנונימיות לתוקף האמיתי - במיוחד שמדובר בתוקפים שהם ממומני מדינה, ולא רוצים שיהיה קישור למדינה עצמה על מנת להתחמק מסנקציות או מהד תקשורתי", מסביר מלכה.