Iremos aprofundar os detalhes complexos que analisam o implante de router "Horse Shell" e partilhar os nossos conhecimentos sobre a funcionalidade do implante, comparando-o com outros implantes de router associados a outros grupos chineses patrocinados pelo Estado. Ao examinar esta implementação, esperamos esclarecer as técnicas e táticas utilizadas pelo grupo Camaro Dragon APT para compreender melhor como os agentes de ameaças utilizam implantes de firmware malicioso em dispositivos de rede para os seus ataques.
O Ataque
A investigação sobre a atividade do "Camaro Dragon" foi de uma campanha dirigida principalmente a entidades europeias de negócios estrangeiros. No entanto, apesar de se ter encontrado o Horse Shell na infraestrutura atacante, não se sabe quem são as vítimas da implementação nos routers.
A implementação nos routers é frequentemente efetuada em dispositivos arbitrários sem qualquer interesse particular, com o objetivo de criar uma cadeia de ligações entre as principais infeções e o verdadeiro comando e controlo. Por outras palavras, infetar um router doméstico não significa que o proprietário da casa tenha sido especificamente visado, mas sim que é apenas um meio para atingir um objetivo.
Não temos a certeza de como é que os atacantes conseguiram infetar os dispositivos de router com a sua implementação maliciosa. É provável que tenham obtido acesso a estes dispositivos através da pesquisa de vulnerabilidades conhecidas ou visando dispositivos que utilizavam palavras-passe predefinidas/fracas e facilmente decifráveis para autenticação.
As nossas descobertas contribuem não só para uma melhor compreensão do grupo Camaro Dragon e do seu conjunto de ferramentas, mas também para a comunidade de cibersegurança em geral, fornecendo conhecimentos cruciais para a compreensão e defesa contra ameaças semelhantes no futuro.
Não só o TP-Link
A descoberta da natureza independente do firmware dos componentes implementados indica que uma vasta gama de dispositivos e fornecedores pode estar em risco.
Além disso, a nossa descoberta da natureza independente do firmware dos componentes implementados indica que uma vasta gama de dispositivos e fornecedores pode estar em risco. Esperamos que a nossa investigação contribua para melhorar a postura de segurança das organizações e dos indivíduos. Entretanto, é importante manter os dispositivos de rede atualizados e protegidos e ter cuidado com qualquer atividade suspeita na rede.
Proteger a sua rede
A descoberta da implementação maliciosa do Camaro Dragon em routers TP-Link realça a importância de tomar medidas de proteção contra ataques semelhantes. Seguem-se algumas recomendações para deteção e proteção:
- Atualização de Software
A atualização regular do firmware e do software dos routers e de outros dispositivos é crucial para evitar vulnerabilidades que os atacantes possam explorar.
- Credencias predefinidas
Altere as credenciais de início de sessão predefinidas de qualquer dispositivo ligado à Internet para palavras-passe mais fortes e utilize a autenticação multifator sempre que possível. Os atacantes procuram frequentemente na Internet dispositivos que ainda utilizam credenciais predefinidas ou fracas.
- Utilizar produtos da Check Point Software
As soluções de segurança de rede da Check Point fornecem prevenção avançada de ameaças e proteção de rede em tempo real contra ataques sofisticados como os utilizados pelo grupo Camaro Dragon APT. Isto inclui proteção contra explorações, malware e outras ameaças avançadas. O Quantum IoT Protect da Check Point identifica e mapeia automaticamente os dispositivos IoT e avalia o risco, impede o acesso não autorizado a e de dispositivos IoT/OT com perfil e segmentação de confiança zero, e bloqueia ataques contra dispositivos IoT.
Os fabricantes podem fazer o melhor para proteger os seus dispositivos contra malware e ciberataques. Os novos regulamentos nos EUA e na Europa exigem que os vendedores e fabricantes garantam que os dispositivos não representam riscos para os utilizadores e incluam funcionalidades de segurança no dispositivo.