Check Point Research, la división de Inteligencia de Amenazas Check Point Software Technologies, acaba de compartir sus conclusiones tras el seguimiento de Camaro Dragon, un grupo de amenazas persistentes avanzadas (APT) patrocinado por el estado chino.
Tras la detección de una secuencia de ciberataques dirigidos contra entidades europeas de asuntos exteriores, los investigadores han descubierto un implante de firmware malicioso creado específicamente para los routers de TP-Link, con varios componentes dañinos entre los que se encuentra “Horse Shell”, backdoor que permite a los atacantes tomar el control total de los dispositivos infectados mientras eluden los sistemas de seguridad para no ser detectados.
Según muestra esta investigación, la actividad de Camaro Dragon se ha centrado en una campaña dirigida principalmente a las entidades de asuntos exteriores de toda Europa; aunque, a pesar de que se encontró la presencia de Horse Shell en las infraestructuras analizadas, no se ha podido determinar quiénes han sido las víctimas.
Por experiencias previas, los implantes de routers a menudo se instalan en dispositivos arbitrarios con el objetivo de crear una cadena de nodos entre las infecciones principales y el comando y control real. En otras palabras, infectar un enrutador doméstico no significa que se esté atacando al propietario, sino que es un medio para alcanzar un objetivo.
Si bien no se ha logrado estipular la metodología concreta con la que los atacantes lograron infectar los dispositivos con este firmware malicioso, es probable que obtuvieran el acceso a estos dispositivos a través de un escaneado exhaustivo en busca de vulnerabilidades conocidas o apuntando a dispositivos que usaban contraseñas predeterminadas o débiles para la autenticación.
En el firmware original y legítimo de TP-Link se muestran los detalles de la versión en funcionamiento, así como un botón a través del cual cargar diferentes versiones para actualizar el firmware. Sin embargo, en la versión modificada de los dispositivos comprometidos por Horse Shell, se detectó el añadido de la propiedad CSS “display:none” en el formulario HTML, ocultándolo al usuario.
El hecho de que el firmware de los componentes implantados sea independiente indica que una amplia gama de dispositivos y proveedores pueden estar en riesgo.
