Дослідники з Check Point Research (CPR) змогли розкрити серію кібератак китайської групи APT «Camaro Dragon». Було виявлено модифіковане шкідливе мікропрограмне забезпечення для маршрутизаторів TP-Link, яке містить налаштований бекдор під назвою «Horse Shell».
Нещодавно Check Point Research (CPR) розслідувала серію цілеспрямованих кібератак на європейські відомства закордонних справ і відстежила їх до спонсорованої державою китайської групи APT, яку CPR назвала «Camaro Dragon». Ця діяльність значною мірою збігається в інфраструктурі з діяльністю, публічно пов’язаною з Mustang Panda.
Готове оновлення прошивки з бекдором
Фахівці з безпеки виявили шкідливий мікропрограмний імплантат, створений для маршрутизаторів TP-Link, який містить різні шкідливі компоненти, включаючи налаштований бекдор під назвою «Horse Shell». Бекдор дозволяв зловмисникам отримати повний контроль над зараженим пристроєм, залишитися непоміченим і отримати доступ до скомпрометованих мереж. Ретельний аналіз серцево-легеневої реанімації виявив ці шкідливі прийоми та надав детальний аналіз.
У цій публікації розглядаються складні деталі аналізу імплантату маршрутизатора «Horse Shell», ділиться ідеєю про те, як працює імплантат, і порівнюється його з іншими імплантатами маршрутизаторів, пов’язаними з іншими китайськими державними групами. Дослідження цього імплантату спрямоване на те, щоб пролити світло на техніку та тактику, використовувану групою APT, щоб краще зрозуміти, як зловмисники використовують шкідливі мікропрограмні імплантати в мережевих пристроях для своїх атак.
Атака на європейські інституції закордонних справ
Розслідування діяльності "Camaro Dragon" стосувалося кампанії, в основному націленої на європейські органи закордонних справ. Хоча Horse Shell було знайдено на атакуючій інфраструктурі, незрозуміло, хто є жертвами імплантату маршрутизатора.
З минулого відомо, що імплантати маршрутизаторів часто встановлюються на випадкових пристроях, які не представляють особливого інтересу, щоб створити зв’язок між основними інфекціями та фактичною функцією командування та контролю. Іншими словами, зараження домашнього маршрутизатора не означає, що домовласник став спеціальною мішенню, а лише засіб для досягнення мети.
У вас є хвилинка?
Приділіть кілька хвилин для нашого опитування користувачів 2023 року та допоможіть покращити B2B-CYBER-SECURITY.de!Вам потрібно відповісти лише на 10 запитань, і у вас є шанс виграти призи від Kaspersky, ESET і Bitdefender.
Тут ви переходите безпосередньо до опитування
Директива ЄС щодо функцій безпеки
Виробники можуть краще захистити свої пристрої від зловмисного програмного забезпечення та кібератак. такі правила Директива ЄС про машини вимагати від постачальників і виробників гарантувати, що пристрої не становлять ризику для користувачів, і що вони вбудовують у пристрої функції безпеки.
Check Point IoT Embedded with Nano Agent® забезпечує захист під час виконання на пристрої, що дозволяє підключеним пристроям використовувати вбудовану безпеку мікропрограми. Nano Agent® — це спеціальний пакет, який пропонує найкращі функції безпеки та запобігає зловмисній активності на маршрутизаторах, мережевих пристроях та інших пристроях IoT. Check Point IoT Nano Agent® має розширені функції, такі як захист пам’яті, виявлення аномалій і контроль цілісності потоку.
Більше на CheckPoint.com
Про КПП Check Point Software Technologies GmbH (www.checkpoint.com/de) є провідним постачальником рішень кібербезпеки для державних адміністрацій і компаній у всьому світі. Рішення захищають клієнтів від кібератак за допомогою найкращого в галузі рівня виявлення шкідливих програм, програм-вимагачів та інших типів атак. Check Point пропонує багаторівневу архітектуру безпеки, яка захищає корпоративну інформацію в хмарі, мережі та на мобільних пристроях, а також найповнішу та інтуїтивно зрозумілу систему керування безпекою «одна точка контролю». Check Point захищає понад 100.000 XNUMX компаній різного розміру.