Un grupo de piratas informáticos patrocinado por el estado chino llamado «Camaro Dragon» infecta a los routers TP-Link residenciales con un malware personalizado «Horse Shell» que se utiliza para atacar a las organizaciones europeas de asuntos exteriores.
Afiliado
Serás capaz de diseñar complejas aplicaciones del lado del Back-End, robustas, rápidas y escalables, dominando diferentes técnicas de comunicación entre el Front-End y el Back-End.
El malware de puerta trasera se implementa en un firmware personalizado y malicioso diseñado específicamente para enrutadores TP-Link para que los piratas informáticos puedan lanzar ataques que parecen originarse en redes residenciales.
«Vale la pena señalar que este tipo de ataque no está dirigido específicamente a redes sensibles, sino a redes residenciales y domésticas habituales», explica el informe de Check Point.
«Por lo tanto, infectar un enrutador doméstico no significa necesariamente que el propietario fuera un objetivo específico, sino que su dispositivo era simplemente un medio para un fin para los atacantes».
El malware desplegado permite a los actores de amenazas acceder total al dispositivo, incluida la ejecución de comandos de shell, la carga y descarga de archivos y su uso como proxy SOCKS para transmitir la comunicación entre dispositivos.
El implante de firmware Horse Shell TP-Link fue descubierto por Check Point Research en enero de 2023, quien dice que la actividad de los piratas informáticos se superpone con el grupo de piratería chino «Mustang Panda» recientemente detallado en los informes de Avast y ESET.
Check Point rastrea esta actividad por separado usando el nombre «Camaro Dragon» para el grupo de actividades a pesar de las similitudes y la considerable superposición con Mustang Panda.
La atribución se realizó en función de las direcciones IP del servidor de los atacantes, las solicitudes con encabezados HTTP codificados que se encuentran en varios sitios web chinos, muchos errores tipográficos en el código binario que muestran que el autor no es un hablante nativo de inglés y similitudes funcionales del troyano con el implante de enrutador APT31 «Pakdoor«.
Implante de firmware TP-Link
Si bien Check Point no ha determinado cómo los atacantes infectan los enrutadores TP-Link con la imagen de firmware malicioso, dijeron que podría ser mediante la explotación de una vulnerabilidad o la fuerza bruta de las credenciales del administrador.
Una vez que un actor de amenazas obtiene acceso de administrador a la interfaz de administración, puede actualizar el dispositivo de forma remota con la imagen de firmware personalizada.
A través de la investigación, Check Point encontró dos muestras de imágenes de firmware con troyanos para enrutadores TP-Link, que contiene amplias modificaciones y adiciones de archivos.
Check Point comparó el firmware malicioso de TP-Link con una versión legítima y descubrió que las secciones del kernel y uBoot eran las mismas. Sin embargo, el firmware malicioso utilizó un sistema de archivos SquashFS personalizado que contenía componentes de archivos maliciosos adicionales que son parte del implante de malware de puerta trasera Horse Shell.
«Partes de él se denominan internamente Horse Shell, por lo que lo usamos para nombrar el implante como un todo. El implante proporciona al atacante 3 funcionalidades principales: shell remoto, transferencia de archivos y tunelización», explica Check Point.
El firmware también modifica el panel web de administración, evitando que el propietario del dispositivo actualice una nueva imagen de firmware para el enrutador y asegurando la persistencia de la infección.
La puerta trasera de Horse Shell
Cuando se inicializa el implante de puerta trasera Horse Shell, le indicará al sistema operativo que no finalice su proceso cuando se emitan los comandos SIGPIPE, SIGINT o SIGABRT, y que se convierta en un demonio para ejecutarse en segundo plano.
La puerta trasera luego se conectará al servidor de comando y control (C2) para enviar el perfil de la máquina de la víctima, incluido el nombre de usuario, la versión del sistema operativo, la hora, la información del dispositivo, la dirección IP, la dirección MAC y las funciones de implante admitidas.
Horse Shell ahora se ejecutará silenciosamente en segundo plano esperando uno de los siguientes tres comandos:
- Inicie un shell remoto que proporcione a los actores de amenazas acceso total al dispositivo comprometido.
- Realice actividades de transferencia de archivos, incluidas la carga y descarga, la manipulación básica de archivos y la enumeración de directorios.
- Inicie la tunelización para ofuscar el origen y el destino del tráfico de red y oculte la dirección del servidor C2.
Los investigadores dicen que el implante de firmware Horse Shell es independiente del firmware, por lo que teóricamente podría funcionar en imágenes de firmware para otros enrutadores de diferentes proveedores.
También lee: Detectan malware que va dirido a los usuarios de Apple
No sorprende ver a piratas informáticos patrocinados por el estado apuntando a enrutadores poco seguros, a menudo atacados por botnets para ataques DDoS u operaciones de criptominería. Esto se debe a que los enrutadores a menudo se pasan por alto al implementar medidas de seguridad y pueden actuar como una plataforma de lanzamiento sigilosa para los ataques, ofuscando el origen del atacante.
Se recomienda a los usuarios que apliquen la última actualización de firmware para su modelo de enrutador para parchear las vulnerabilidades existentes y cambiar la contraseña de administrador predeterminada a algo más seguro. Sin embargo, aún más crítico, deshabilite el acceso remoto al panel de administración del dispositivo y hágalo solo accesible desde la red local.
Un tema recurrente
Los dispositivos de red de borde se han convertido en un objetivo popular para los actores de amenazas patrocinados por el estado, y los piratas informáticos chinos se dirigieron previamente a los enrutadores Fortinet VPN y SonicWall SMA con implantes de firmware personalizados.
Más recientemente, las agencias de ciberseguridad NCSC del Reino Unido y CISA de EE. UU. advirtieron que los actores de amenazas patrocinados por el estado ruso también estaban violando los enrutadores de Cisco para instalar malware personalizado.
Como estos dispositivos no suelen ser compatibles con las soluciones de seguridad EDR (Detección y respuesta de puntos finales), los actores de amenazas pueden usarlos para robar datos, propagarse lateralmente y realizar más ataques con menos oportunidades de detección.
«Hay un tema recurrente del enfoque continuo del espionaje cibernético entre China y el nexo en los dispositivos de red, dispositivos IOT, etc. que no son compatibles con las soluciones EDR», dijo a BleepingComputer el CTO de Mandiant, Charles Carmakal.
Por esta razón, es vital que los administradores de red instalen todos los parches de seguridad disponibles en los dispositivos perimetrales tan pronto como estén disponibles y no expongan públicamente las consolas de administración.
____________________________
[Escrito originalmente por Bill Toulas para Bleeping Computer. Los datos fueron confirmados por el Staff de Morbeb]
