Se descubri贸 un firmware malicioso 馃敶 que afecta a los routers de TP-Link
Check Point Research, la divisi贸n de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), un proveedor l铆der especializado en ciberseguridad a nivel mundial, ha compartido sus conclusiones tras el seguimiento de Camaro Dragon, un grupo de amenazas persistentes avanzadas (APT) patrocinado por el estado chino.
Tras la detecci贸n de una secuencia de ciberataques dirigidos contra entidades europeas de asuntos exteriores, los investigadores han descubierto un implante de firmware malicioso creado espec铆ficamente para los routers de TP-Link con varios componentes da帽inos entre los que se encuentra "Horse Shell", backdoor que permite a los atacantes tomar el control total de los dispositivos infectados mientras eluden los sistemas de seguridad para no ser detectados.
Seg煤n muestra esta investigaci贸n, la actividad de Camaro Dragon se ha centrado en una campa帽a dirigida principalmente a las entidades de asuntos exteriores de toda Europa; aunque, a pesar de que se encontr贸 la presencia de Horse Shell en las infraestructuras analizadas, no se ha podido determinar qui茅nes han sido las v铆ctimas.
Por experiencias previas, los implantes de routers a menudo se instalan en dispositivos arbitrarios con el objetivo de crear una cadena de nodos entre las infecciones principales y el comando y control real. En otras palabras, infectar un enrutador dom茅stico no significa que se est茅 atacando al propietario, sino que es un medio para alcanzar un objetivo.
Si bien no se ha logrado estipular la metodolog铆a concreta con la que los atacantes lograron infectar los dispositivos con este firmware malicioso, es probable que obtuvieran el acceso a estos dispositivos a trav茅s de un escaneado exhaustivo en busca de vulnerabilidades conocidas o apuntando a dispositivos que usaban contrase帽as predeterminadas o d茅biles para la autenticaci贸n.
Figura 1. Interfaz del actualizador de firmware original del router TP-Link
Tal y como se puede ver en las capturas compartidas, en el firmware original y leg铆timo de TP-Link se muestran los detalles de la versi贸n en funcionamiento, as铆 como un bot贸n a trav茅s del cual cargar diferentes versiones para actualizar el firmware.
Sin embargo, en la versi贸n modificada de los dispositivos comprometidos por Horse Shell, se detect贸 el a帽adido de la propiedad CSS "display:none" en el formulario HTML, ocult谩ndolo al usuario.
Figura 2. Ejemplo de interfaz del actualizador oculta tras la infecci贸n del firmware malicioso
El hecho de que el firmware de los componentes implantados sea independiente indica que una amplia gama de dispositivos y proveedores pueden estar en riesgo.
Desde Check Point Software recuerdan la importancia de mantener los dispositivos actualizados y seguros, destacando las medidas de protecci贸n contra ataques similares, y compartiendo algunas recomendaciones para la detecci贸n y protecci贸n de cualquier equipo:
- Aplicar las actualizaciones de software: mantener al d铆a y actualizar el firmware y software de los routers y los dispositivos conectados es crucial para prevenir vulnerabilidades que los atacantes puedan explotar.
- Evitar el uso de credenciales predeterminadas: cambiar las claves de inicio de sesi贸n predefinidas de cualquier dispositivo conectado a Internet a contrase帽as m谩s seguras y usar la autenticaci贸n multifactor siempre que sea posible. Los atacantes a menudo escanean Internet en busca de dispositivos que todav铆a usan credenciales predeterminadas o d茅biles.
- Contar con una infraestructura de seguridad: las soluciones de ciberseguridad de red proporcionan prevenci贸n avanzada de amenazas y protecci贸n de red en tiempo real contra ataques sofisticados como los utilizados por el grupo Camaro Dragon. Esto incluye protecci贸n contra exploits, malware y otras amenazas avanzadas. Herramientas como Quantum IoT Protect de Check Point son capaces de identificar y mapear autom谩ticamente los dispositivos IoT y evaluar el riesgo, y evitar los ataques y accesos no autorizados hacia y desde dispositivos IoT/OT con perfiles de segmentaci贸n Zero Trust.
Estos descubrimientos nos permiten conocer mejor al grupo Camaro Dragon y su conjunto de herramientas, que es positivo para la comunidad de ciberseguridad en general porque proporciona conocimientos cruciales para comprender y defenderse contra amenazas similares en el futuro.
No hay comentarios.