Check Point Research ha monitorato una serie di attacchi rivolti a entità di affari esteri europei.
L’analisi condotta ha portato i ricercatori a scoprire un impianto firmware malevolo per i router TP-Link che presenta tra le sue componenti una backdoor personalizzata denominata “Horse Shell” che consentirebbe agli attaccanti di mantenere un accesso persistente, creare un’infrastruttura anonima e consentire il movimento laterale nelle reti compromesse.
Horse Shell, l’impianto principale
“Horse Shell”, l’impianto principale inserito nel firmware modificato, un binario scritto in C++ e compilato per i sistemi operativi basati su MIPS32, fornirebbe all’attaccante 3 funzionalità principali:
- Una shell remota per l’esecuzione di comandi shell arbitrari sul router infetto.
- Il trasferimento file per caricare e scaricare il file da e verso il router infetto.
- Il tunneling SOCKS per l’inoltro della comunicazione tra diversi client.
Possibile attribuzione
Queste campagne sarebbero state collegate a un gruppo APT sponsorizzato dallo stato cinese noto come Camaro Dragon, che condividerebbe attività simili con quelle di un altro attore di minacce nation-state cinese, conosciuto con il nome Mustang Panda.
“La scoperta è l’ennesimo esempio di una tendenza di lunga data da parte degli attori delle minacce cinesi a sfruttare i dispositivi di rete connessi a Internet e modificare il software o il firmware sottostante.”, è il commento di Check Point Research.
Prevenzione
Per proteggersi da attacchi simili è sempre importante adottare misure preventive come mantenere aggiornati i firmware dei dispositivi di rete e cambiare le credenziali di accesso predefinite di qualsiasi dispositivo connesso a Internet.
Restano ancora poco chiari il metodo di distribuzione delle immagini firmware sui router infetti ed il loro effettivo utilizzo.