A Check Point Research verificou que o firmware malicioso permitia aos atacantes obter o controle total dos dispositivos infectados e acessar redes comprometidas, evitando sua detecção; os ataques foram atribuídos a um grupo APT patrocinado pelo estado chinês e denominado “Camaro Dragon”
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies Ltd., tem monitorado uma série de ataques cibernéticos direcionados a entidades de relações exteriores europeias, os quais foram vinculados a um grupo de Advanced Persistent Threat (APT) patrocinado pelo estado chinês chamado “Camaro Dragon” (nome dado pela equipe da CPR).
A equipe da Check Point Research fez uma análise abrangente dos ataques do “Camaro Dragon”, revelando uma implementação de firmware malicioso feito sob medida para os populares roteadores TP-Link. Chamado de “Horse Shell”, o backdoor personalizado fornece aos atacantes controle total dos dispositivos infectados e permite que o agente da ameaça mantenha suas atividades de modo anônimo, sem detecção, e acesse redes comprometidas.
O Ataque
A investigação sobre a atividade do “Camaro Dragon” foi de uma campanha direcionada principalmente a entidades europeias de relações exteriores. No entanto, apesar de se ter encontrado o “Horse Shell” na infraestrutura de ataque, não se sabe quem são as vítimas da implementação nos roteadores.
Aprendendo com a história, as implementações nos roteadores são frequentemente efetuadas em dispositivos arbitrários sem nenhum interesse particular, com o objetivo de criar uma cadeia de ligações entre as principais infecções e o comando e controle reais. Em outras palavras, infectar um roteador doméstico não significa que o proprietário foi especificamente visado, mas sim que ele é apenas um meio para atingir um objetivo.
A equipe da CPR não tem certeza de como os atacantes conseguiram infectar os dispositivos do roteador com sua implementação maliciosa. É provável que eles tenham obtido acesso a esses dispositivos por meio de busca de vulnerabilidades conhecidas ou direcionando dispositivos que usavam senhas padrão ou fracas e fáceis de adivinhar para autenticação. Essas descobertas não apenas contribuem para uma melhor compreensão do grupo “Camaro Dragon” e seu conjunto de ferramentas, mas também para a comunidade de segurança cibernética em geral.
Proteção da rede
Por meio de uma investigação contínua, a Check Point Research visa fornecer uma melhor compreensão das técnicas e táticas utilizadas pelo grupo de APT “Camaro Dragon” e contribuir para melhorar a postura de segurança de organizações e indivíduos. Os especialistas da CPR indicam as seguintes recomendações para detecção e proteção:
Atualização de Software
A atualização regular do firmware e do software dos roteadores e de outros dispositivos é crucial para evitar vulnerabilidades que os atacantes possam explorar.
Credenciais predefinidas
Alterar as credenciais de início de sessão predefinidas de qualquer dispositivo ligado à Internet para senhas mais fortes e utilizar a autenticação de múltiplo fator são ações necessárias sempre que possível. Os atacantes procuram frequentemente na Internet dispositivos que ainda utilizam credenciais predefinidas ou fracas.
Utilizar soluções de segurança de rede
As soluções de segurança de rede com recursos de prevenção avançada de ameaças e proteção de rede em tempo real contra ataques sofisticados, como os utilizados pelo grupo “Camaro Dragon”, devem ser adotadas. Isto inclui proteção contra explorações, malware e outras ameaças avançadas.
“A implementação do ‘Horse Shell’ no roteador é uma peça complexa de firmware malicioso que mostra os recursos avançados dos atacantes patrocinados pelo estado chinês. Ao analisar essa implementação, podemos obter informações valiosas sobre as táticas e técnicas usadas por esses atacantes, o que pode contribuir para uma melhor compreensão e defesa contra ameaças semelhantes no futuro”, informa Itay Cohen, líder de pesquisa na Check Point Research (CPR).
“A natureza independente de firmware dos componentes implementados sugere que uma ampla gama de dispositivos e fornecedores podem estar em risco. É fundamental que as organizações e os indivíduos mantenham a vigilância atualizando seus dispositivos de rede regularmente e implementando fortes medidas de segurança para combater essas ameaças avançadas”, recomenda Cohen.
