Router TP-Link sfruttati per attacchi sofisticati su reti compromesse

Check Point Research ha monitorato una serie di attacchi rivolti a entità di affari esteri europei. 

L’analisi condotta ha portato i ricercatori a scoprire un impianto firmware malevolo per i router TP-Link che presenta tra le sue componenti una backdoor personalizzata denominata “Horse Shell” che consentirebbe agli attaccanti di mantenere un accesso persistente, creare un’infrastruttura anonima e consentire il movimento laterale nelle reti compromesse.

Componenti del firmware trojanizzato (Fonte Check Point Research)

Horse Shell, l’impianto principale

“Horse Shell”, l’impianto principale inserito nel firmware modificato, un binario scritto in C++ e compilato per i sistemi operativi basati su MIPS32, fornirebbe all’attaccante 3 funzionalità principali:

  • Una shell remota per l’esecuzione di comandi shell arbitrari sul router infetto.
  • Il trasferimento file per caricare e scaricare il file da e verso il router infetto.
  • Il tunneling SOCKS per l’inoltro della comunicazione tra diversi client.

Possibile attribuzione

Queste campagne sarebbero state collegate a un gruppo APT sponsorizzato dallo stato cinese noto come Camaro Dragon, che condividerebbe attività simili con quelle di un altro attore di minacce nation-state cinese, conosciuto con il nome Mustang Panda.

La scoperta è l’ennesimo esempio di una tendenza di lunga data da parte degli attori delle minacce cinesi a sfruttare i dispositivi di rete connessi a Internet e modificare il software o il firmware sottostante.”, è il commento di Check Point Research.

Prevenzione

Per proteggersi da attacchi simili è sempre importante adottare misure preventive come mantenere aggiornati i firmware dei dispositivi di rete e cambiare le credenziali di accesso predefinite di qualsiasi dispositivo connesso a Internet.

Restano ancora poco chiari il metodo di distribuzione delle immagini firmware sui router infetti ed il loro effettivo utilizzo.

Su Salvatore Lombardo 229 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.