Des chercheurs de Check Point Research (CPR) ont pu découvrir une série de cyberattaques du groupe chinois APT "Camaro Dragon". Un micrologiciel malveillant modifié pour les routeurs TP-Link a été découvert, qui comprend une porte dérobée personnalisée appelée "Horse Shell".
Récemment, Check Point Research (CPR) a enquêté sur une série de cyberattaques ciblées contre des agences européennes des affaires étrangères et les a retracées jusqu'à un groupe APT parrainé par l'État chinois surnommé le "Dragon Camaro" par CPR. Ces activités partagent un chevauchement infrastructurel important avec des activités publiquement associées à Mustang Panda.
Mise à jour du firmware préparée avec porte dérobée
Les chercheurs en sécurité ont découvert un implant de micrologiciel malveillant créé pour les routeurs TP-Link contenant divers composants malveillants, notamment une porte dérobée personnalisée appelée "Horse Shell". La porte dérobée permettait aux attaquants de prendre le contrôle total de l'appareil infecté, de ne pas être détectés et d'accéder à des réseaux compromis. Une analyse approfondie de CPR a découvert ces tactiques malveillantes et fournit une analyse détaillée.
Cet article plonge dans les détails complexes de l'analyse de l'implant de routeur "Horse Shell", partageant des informations sur le fonctionnement de l'implant et le comparant à d'autres implants de routeur associés à d'autres groupes parrainés par l'État chinois. L'étude de cet implant vise à faire la lumière sur les techniques et les tactiques utilisées par le groupe APT afin de mieux comprendre comment les acteurs de la menace utilisent des implants de micrologiciels malveillants dans les dispositifs réseau pour leurs attaques.
Attaque contre les institutions européennes des affaires étrangères
L'enquête sur les activités de "Camaro Dragon" était liée à une campagne ciblant principalement les organes européens des affaires étrangères. Bien que Horse Shell ait été trouvé sur l'infrastructure d'attaque, on ne sait pas qui sont les victimes de l'implantation du routeur.
Il est connu du passé que les implants routeurs sont souvent installés sur des appareils aléatoires sans intérêt particulier afin de créer un lien entre les principales infections et la fonction de commande et de contrôle proprement dite. En d'autres termes, infecter un routeur domestique ne signifie pas que le propriétaire a été spécifiquement ciblé, mais qu'il s'agit simplement d'un moyen pour arriver à ses fins.
As-tu un instant?
Prenez quelques minutes pour notre enquête auprès des utilisateurs 2023 et contribuez à améliorer B2B-CYBER-SECURITY.de!Vous n'avez qu'à répondre à 10 questions et vous avez une chance immédiate de gagner des prix de Kaspersky, ESET et Bitdefender.
Ici, vous accédez directement à l'enquête
Directive UE pour les fonctions de sécurité
Les fabricants peuvent mieux protéger leurs appareils contre les logiciels malveillants et les cyberattaques. des règlements comme ça Directive européenne sur les machines exigent des fournisseurs et des fabricants qu'ils s'assurent que les appareils ne présentent aucun risque pour les utilisateurs et qu'ils intègrent des fonctions de sécurité dans les appareils.
Check Point IoT Embedded with Nano Agent® fournit une protection d'exécution sur l'appareil qui active les appareils connectés avec une sécurité de micrologiciel intégrée. Le Nano Agent® est un package sur mesure qui offre les meilleures fonctionnalités de sécurité et empêche les activités malveillantes sur les routeurs, les périphériques réseau et autres périphériques IoT. Check Point IoT Nano Agent® dispose de fonctionnalités avancées telles que la protection de la mémoire, la détection des anomalies et l'intégrité du flux de contrôle.
Plus sur CheckPoint.com
À propos du point de contrôle Check Point Software Technologies GmbH (www.checkpoint.com/de) est l'un des principaux fournisseurs de solutions de cybersécurité pour les administrations publiques et les entreprises du monde entier. Les solutions protègent les clients contre les cyberattaques avec un taux de détection des logiciels malveillants, des rançongiciels et d'autres types d'attaques à la pointe du secteur. Check Point propose une architecture de sécurité multicouche qui protège les informations de l'entreprise sur le cloud, le réseau et les appareils mobiles, ainsi que le système de gestion de la sécurité « à un seul point de contrôle » le plus complet et le plus intuitif. Check Point protège plus de 100.000 XNUMX entreprises de toutes tailles.