Investigadores de Check Point Research (CPR) pudieron descubrir una serie de ataques cibernéticos por parte del grupo APT chino "Camaro Dragon". Se descubrió un firmware malicioso modificado para los enrutadores TP-Link, que incluye una puerta trasera personalizada llamada "Horse Shell".
Recientemente, Check Point Research (CPR) investigó una serie de ataques cibernéticos dirigidos a agencias de asuntos exteriores europeas y los rastreó hasta un grupo APT patrocinado por el estado chino denominado "Camaro Dragon" por CPR. Estas actividades comparten una superposición de infraestructura significativa con las actividades asociadas públicamente con Mustang Panda.
Actualización de firmware preparada con puerta trasera
Los investigadores de seguridad descubrieron un implante de firmware malicioso creado para los enrutadores TP-Link que contenía varios componentes maliciosos, incluida una puerta trasera personalizada llamada "Horse Shell". La puerta trasera permitió a los atacantes tomar el control total del dispositivo infectado, permanecer sin ser detectados y acceder a las redes comprometidas. Un análisis exhaustivo de CPR ha descubierto estas tácticas maliciosas y proporciona un análisis detallado.
Esta publicación se sumerge en los detalles complejos del análisis del implante de enrutador "Horse Shell", comparte información sobre cómo funciona el implante y lo compara con otros implantes de enrutador asociados con otros grupos patrocinados por el estado chino. El estudio de este implante tiene como objetivo arrojar luz sobre las técnicas y tácticas utilizadas por el grupo APT para comprender mejor cómo los actores de amenazas utilizan implantes de firmware malicioso en dispositivos de red para sus ataques.
Ataque a las instituciones europeas de asuntos exteriores
La investigación sobre las actividades del "Camaro Dragon" estaba relacionada con una campaña dirigida principalmente a los organismos de asuntos exteriores europeos. Aunque se encontró Horse Shell en la infraestructura atacante, no está claro quiénes son las víctimas del implante del enrutador.
Se sabe por el pasado que los implantes de enrutadores a menudo se instalan en dispositivos aleatorios sin ningún interés particular para crear un vínculo entre las infecciones principales y la función real de comando y control. En otras palabras, infectar un enrutador doméstico no significa que el propietario haya sido un objetivo específico, sino que es solo un medio para un fin.
¿Tienes un momento?
Tómese unos minutos para nuestra encuesta de usuarios de 2023 y ayude a mejorar B2B-CYBER-SECURITY.de!Solo tiene que responder 10 preguntas y tiene la oportunidad inmediata de ganar premios de Kaspersky, ESET y Bitdefender.
Aquí vas directo a la encuesta
Directiva de la UE para funciones de seguridad
Los fabricantes pueden proteger mejor sus dispositivos contra malware y ataques cibernéticos. regulaciones como esa Directiva de maquinaria de la UE exigir a los proveedores y fabricantes que se aseguren de que los dispositivos no representen ningún riesgo para los usuarios y que incorporen funciones de seguridad en los dispositivos.
Check Point IoT Embedded with Nano Agent® brinda protección en tiempo de ejecución en el dispositivo que permite dispositivos conectados con seguridad de firmware integrada. El Nano Agent® es un paquete hecho a medida que ofrece las mejores características de seguridad y previene la actividad maliciosa en enrutadores, dispositivos de red y otros dispositivos IoT. Check Point IoT Nano Agent® tiene funciones avanzadas como protección de memoria, detección de anomalías e integridad del flujo de control.
Más en CheckPoint.com
Sobre el punto de control Check Point Software Technologies GmbH (www.checkpoint.com/de) es un proveedor líder de soluciones de ciberseguridad para administraciones públicas y empresas de todo el mundo. Las soluciones protegen a los clientes de los ataques cibernéticos con una tasa de detección de malware, ransomware y otros tipos de ataques líder en la industria. Check Point ofrece una arquitectura de seguridad de varias capas que protege la información corporativa en la nube, la red y los dispositivos móviles, y el sistema de administración de seguridad de "un punto de control" más completo e intuitivo. Check Point protege a más de 100.000 XNUMX empresas de todos los tamaños.