Um grupo de hackers patrocinado pelo governo chinês chamado Camaro Dragon infectou roteadores TP-Link residenciais com o malware Horse Shell personalizado usado para atacar organizações de relações exteriores europeias.
O malware implanta uma backdoor em um firmware personalizado e malicioso projetado especificamente para roteadores TP-Link, para que os hackers possam lançar ataques que parecem se originar de redes residenciais. “Vale ressaltar que esse tipo de ataque não é direcionado especificamente a redes corporativas, mas sim a redes residenciais e domésticas comuns”, explica o relatório da Check Point Software.
A fornecedora de soluções de cibersegurança observa que infectar um roteador doméstico não significa necessariamente que o proprietário era um alvo específico, “mas sim que seu dispositivo era apenas um meio para atingir um fim para os invasores”.
O malware implantado permite que os operadores da ameaça tenham acesso total ao dispositivo, incluindo a execução de comandos shell, upload e download de arquivos e uso como um proxy SOCKS para retransmitir a comunicação entre os dispositivos.
O implante do Horse Shell TP-Link foi descoberto em janeiro pela equipe da Check Point Research (CPR), divisão de inteligência em ameaças da Check Point Software, que diz que a atividade dos hackers se sobrepõe a do grupo de hackers chinês Mustang Panda, recentemente detalhado nos relatórios da Avast e da ESET.
A Check Point rastreia essa atividade separadamente usando o nome Camaro Dragon para o cluster de atividades, apesar das semelhanças e considerável sobreposição com o Mustang Panda. A atribuição foi feita com base nos endereços IP dos servidores dos invasores, solicitações com cabeçalhos HTTP codificados encontrados em vários sites chineses, muitos erros de digitação no código binário que mostram que o autor não é um falante nativo de inglês e semelhanças funcionais do trojan com o implante do roteador APT31 Pakdoor.
Embora a Check Point não tenha determinado como os invasores infectam os roteadores TP-Link com a imagem de firmware maliciosa, eles disseram que pode ser explorando uma vulnerabilidade ou forçando as credenciais do administrador. Depois que o operador da ameaça obtém acesso de administrador à interface de gerenciamento, ele pode atualizar remotamente o dispositivo com a imagem de firmware personalizada.
Por meio de investigação, a Check Point encontrou duas amostras de imagens de firmware trojanizadas para roteadores TP-Link, ambas contendo extensas modificações e adições de arquivos.
A Check Point comparou o firmware malicioso do TP-Link com uma versão legítima e descobriu que as seções do kernel e do uBoot eram as mesmas. No entanto, o firmware malicioso utilizou um sistema de arquivos SquashFS personalizado que continha componentes de arquivos maliciosos adicionais que fazem parte do implante da backdoor Horse Shell. “Partes dele são chamadas internamente de Horse Shell, então nós as usamos para nomear o implante como um todo. O implante fornece ao invasor três funcionalidades principais: shell remoto, transferência de arquivos e tunelamento”, explica a Check Point.
O firmware também modifica o painel web de gerenciamento, impedindo que o proprietário do dispositivo mostre uma nova imagem de firmware para o roteador e garantindo a persistência da infecção.
Porta dos fundos horse shell
Quando o implante da backdoor Horse Shell é inicializado, ele instruirá o sistema operacional a não encerrar seu processo quando os comandos SIGPIPE, SIGINT ou SIGABRT forem emitidos e a ser convertido em um daemon para ser executado em segundo plano. A backdoor se conectará ao servidor de comando e controle (C&C) para enviar o perfil da máquina da vítima, incluindo o nome do usuário, versão do sistema operacional, hora, informações do dispositivo, endereço IP, endereço MAC e recursos de implante suportados.
A Horse Shell agora será executado silenciosamente em segundo plano, aguardando um dos três comandos a seguir:
- Inicie um shell remoto fornecendo aos agentes de ameaça acesso total ao dispositivo comprometido.
- Execute atividades de transferência de arquivos, incluindo upload e download, manipulação básica de arquivos e enumeração de diretórios.
- Inicie o tunelamento para ofuscar a origem e o destino do tráfego de rede e ocultar o endereço do servidor C&C.
Veja isso
Hackers podem invadir rede usando roteadores revendidos
Cisco alerta sobre falhas em roteadores em fim de vida útil
Os pesquisadores dizem que o implante do Horse Shell é independente de firmware, portanto, teoricamente, poderia funcionar em imagens de firmware para outros roteadores de fornecedores diferentes.
Não surpreende ver hackers patrocinados por Estado-nação visando roteadores mal protegidos, frequentemente alvo de botnets para ataques DDoS ou operações de mineração de criptografia. Isso ocorre porque os roteadores geralmente são ignorados ao implementar medidas de segurança e podem atuar como uma plataforma de lançamento furtiva para ataques, ofuscando a origem do invasor.
Os usuários são aconselhados a aplicar a atualização de firmware mais recente para seu modelo de roteador para corrigir quaisquer vulnerabilidades existentes e alterar a senha de administrador padrão para algo forte. No entanto, ainda mais crítico, desabilite o acesso remoto ao painel de administração do dispositivo e torne-o acessível apenas pela rede local.