Check Point Research revela implementação de firmware malicioso para routers TP-Link, ligado a um grupo APT chinês

Check Point Research revela implementação de firmware malicioso para routers TP-Link, ligado a um grupo APT chinês

- A Check Point Research (CPR) expõe uma implementação de firmware malicioso para routers TP-Link que permitia aos atacantes obter o controlo total dos dispositivos infetados e aceder a redes comprometidas, evitando a deteção.

- O CPR atribui os ataques a um grupo APT patrocinado pelo Estado chinês, denominado "Camaro Dragon". O grupo sobrepõe-se à atividade anteriormente atribuída ao Mustang Panda.

- O método de implementação das imagens de firmware permanece incerto, tal como a sua utilização e envolvimento em intrusões reais.

Recentemente, a Check Point Research, equipa de investigação da Check Point Software, líder mundial de soluções de cibersegurança, investigou uma sequência de ciberataques direcionados a entidades europeias dos negócios estrangeiros e atribuiu-os a um grupo de Ameaça Persistente Avançada (APT) patrocinado pelo Estado chinês, denominado de "Camaro Dragon" pelo CPR. Esta atividade tem sobreposições significativas de infraestruturas com atividades publicamente associadas ao "Mustang Panda". A nossa investigação descobriu uma implementação de firmware malicioso criado para routers TP-Link que continha vários componentes nocivos, incluindo uma backdoor personalizada denominada "Horse Shell". Esta backdoor permitia que os atacantes assumissem o controlo total do dispositivo infetado, não fossem detetados e acedessem a redes comprometidas. A análise minuciosa do CPR expôs estas táticas maliciosas e fornece uma análise aprofundada.

Iremos aprofundar os detalhes complexos que analisam o implante de router "Horse Shell" e partilhar os nossos conhecimentos sobre a funcionalidade do implante, comparando-o com outros implantes de router associados a outros grupos chineses patrocinados pelo Estado. Ao examinar esta implementação, esperamos esclarecer as técnicas e táticas utilizadas pelo grupo Camaro Dragon APT para compreender melhor como os agentes de ameaças utilizam implantes de firmware malicioso em dispositivos de rede para os seus ataques.

O Ataque

A investigação sobre a atividade do "Camaro Dragon" foi de uma campanha dirigida principalmente a entidades europeias de negócios estrangeiros. No entanto, apesar de se ter encontrado o Horse Shell na infraestrutura atacante, não se sabe quem são as vítimas da implementação nos routers.

A implementação nos routers é frequentemente efetuada em dispositivos arbitrários sem qualquer interesse particular, com o objetivo de criar uma cadeia de ligações entre as principais infeções e o verdadeiro comando e controlo. Por outras palavras, infetar um router doméstico não significa que o proprietário da casa tenha sido especificamente visado, mas sim que é apenas um meio para atingir um objetivo.

Não temos a certeza de como é que os atacantes conseguiram infetar os dispositivos de router com a sua implementação maliciosa. É provável que tenham obtido acesso a estes dispositivos através da pesquisa de vulnerabilidades conhecidas ou visando dispositivos que utilizavam palavras-passe predefinidas/fracas e facilmente decifráveis para autenticação.

As nossas descobertas contribuem não só para uma melhor compreensão do grupo Camaro Dragon e do seu conjunto de ferramentas, mas também para a comunidade de cibersegurança em geral, fornecendo conhecimentos cruciais para a compreensão e defesa contra ameaças semelhantes no futuro.

Não só o TP-Link

A descoberta da natureza independente do firmware dos componentes implementados indica que uma vasta gama de dispositivos e fornecedores pode estar em risco.

Além disso, a nossa descoberta da natureza independente do firmware dos componentes implementados indica que uma vasta gama de dispositivos e fornecedores pode estar em risco. Esperamos que a nossa investigação contribua para melhorar a postura de segurança das organizações e dos indivíduos. Entretanto, é importante manter os dispositivos de rede atualizados e protegidos e ter cuidado com qualquer atividade suspeita na rede.

Proteger a sua rede

A descoberta da implementação maliciosa do Camaro Dragon em routers TP-Link realça a importância de tomar medidas de proteção contra ataques semelhantes. Seguem-se algumas recomendações para deteção e proteção:

· Atualização de Software

A atualização regular do firmware e do software dos routers e de outros dispositivos é crucial para evitar vulnerabilidades que os atacantes possam explorar.

· Credencias predefinidas

Altere as credenciais de início de sessão predefinidas de qualquer dispositivo ligado à Internet para palavras-passe mais fortes e utilize a autenticação multifator sempre que possível. Os atacantes procuram frequentemente na Internet dispositivos que ainda utilizam credenciais predefinidas ou fracas.

· Utilizar produtos da Check Point Software

As soluções de segurança de rede da Check Point fornecem prevenção avançada de ameaças e proteção de rede em tempo real contra ataques sofisticados como os utilizados pelo grupo Camaro Dragon APT. Isto inclui proteção contra explorações, malware e outras ameaças avançadas. O Quantum IoT Protect da Check Point identifica e mapeia automaticamente os dispositivos IoT e avalia o risco, impede o acesso não autorizado a e de dispositivos IoT/OT com perfil e segmentação de confiança zero, e bloqueia ataques contra dispositivos IoT.

Os fabricantes podem fazer o melhor para proteger os seus dispositivos contra malware e ciberataques. Os novos regulamentos nos EUA e na Europa exigem que os vendedores e fabricantes garantam que os dispositivos não representam riscos para os utilizadores e incluam funcionalidades de segurança no dispositivo.

O Check Point IoT Embedded com Nano Agent® fornece proteção em tempo de execução no dispositivo, permitindo dispositivos ligados com segurança de firmware incorporada. O Nano Agent® é um pacote personalizado que fornece as principais capacidades de segurança e impede a atividade maliciosa em routers, dispositivos de rede e outros dispositivos IoT. O Check Point IoT Nano Agent® tem capacidades avançadas de proteção de memória, deteção de anomalias e integridade do fluxo de controlo. Funciona dentro do dispositivo e serve como uma linha da frente para proteger os dispositivos IoT.