Camaro Dragon: Amenaza cibernética china compromete routers TP-Link y roba información

El equipo de investigación de Check Point Research publicó un nuevo informe que expone las actividades de un actor de amenazas APT patrocinado por el Estado chino, al que el equipo de investigación rastrea como Camaro Dragon. El actor de amenazas utiliza un implante personalizado para comprometer un modelo específico de router TP-Link y robar información de él, así como proporcionar acceso trasero a los atacantes.

Camaro Dragon: Amenaza cibernética china compromete routers TP-Link y roba información - Seguridad | Imagen 1 Newsmatic

El informe proporciona detalles técnicos adicionales sobre este ciberataque, quienes se ven afectados y cómo detectar y protegerse contra esta amenaza de seguridad.

Índice:

  • Implante "Horse Shell" encontrado en el firmware del router TP-Link
  • Vínculos entre Camaro Dragon y Mustang Panda
  • Los implantes de routers son una amenaza en crecimiento
  • Cómo detectar esta amenaza y protegerse de ella
Índice de Contenido
  1. Implante "Horse Shell" encontrado en el firmware del router TP-Link
  2. Vínculos entre Camaro Dragon y Mustang Panda
  3. Los implantes de routers son una amenaza en crecimiento
  4. Cómo detectar esta amenaza y protegerse de ella

Implante "Horse Shell" encontrado en el firmware del router TP-Link

Durante su análisis de Camaro Dragon, los investigadores descubrieron una gran cantidad de archivos utilizados en sus ataques, dos de los cuales eran imágenes de firmware de TP-Link para el modelo de router WR940 lanzado alrededor de 2014. Estos implantes se encontraron en una campaña de ataque dirigida principalmente a entidades de Asuntos Exteriores europeas.

Al comparar esos archivos con las imágenes de firmware legítimas para el router TP-Link WR940, Check Point descubrió que el sistema de archivos había sido alterado, con cuatro archivos agregados al firmware y dos archivos modificados para ejecutar un implante malicioso (Figura A).

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Figura A

Camaro Dragon: Amenaza cibernética china compromete routers TP-Link y roba información - Seguridad | Imagen 2 Newsmatic

El primer descubrimiento revela que los atacantes modificaron el archivo legítimo SoftwareUpgradeRpm.htm del firmware, al que se puede acceder a través de la interfaz web del router y permite actualizaciones de firmware manuales (Figura B).

Figura B

Camaro Dragon: Amenaza cibernética china compromete routers TP-Link y roba información - Seguridad | Imagen 3 Newsmatic

La versión modificada de la página oculta completamente la opción de actualización de firmware para que el administrador ya no pueda actualizarlo (Figura C).

Cómo proteger tu computadora de los virus: métodos y consejos

Figura C

Camaro Dragon: Amenaza cibernética china compromete routers TP-Link y roba información - Seguridad | Imagen 4 Newsmatic

El segundo descubrimiento es la modificación del archivo /etc/rc.d/rcS, que forma parte de los scripts de inicio del sistema operativo. Los atacantes agregaron la ejecución de tres de los archivos que agregaron en el sistema de archivos del firmware para que se ejecuten cada vez que el sistema operativo se reinicie, asegurando la persistencia del implante en el router comprometido.

Un archivo que se ejecuta en el inicio mediante el script es /usr/bin/shell. Este archivo es una shell de enlace protegida por contraseña en el puerto 14444, lo que significa que es posible obtener acceso a esta shell proporcionándole una buena contraseña. Un examen rápido del archivo reveló la contraseña (J2)3#4G@Iie), almacenada en texto claro en el archivo.

Otro archivo, /usr/bin/timer, proporciona una capa adicional de persistencia para los atacantes, ya que su único papel es asegurarse de que /usr/bin/udhcp esté en ejecución, siendo este último el implante principal.

El principal implante malicioso es /usr/bin/udhcp, llamado Horse Shell por Check Point Research. El nombre proviene de los datos internos del archivo. Se ejecuta en segundo plano como un demonio en el sistema y proporciona tres funcionalidades: shell remota, transferencia de archivos y túneles.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

Un último archivo, /usr/bin/sheel, se encarga de escribir y leer una configuración de C2 que almacena en otra partición del dispositivo. Los datos se escriben y leen directamente desde un dispositivo de bloques en un esfuerzo obvio por mantenerse indetectados o alejados del ojo de un administrador.

Una vez que se ejecuta el implante udhcp, recopila y envía datos a su servidor C2: nombres de usuario y sistema, versión y tiempo del sistema operativo, arquitectura de CPU y número de CPUs, RAM total, direcciones IP y MAC, características admitidas por el implante (shell remota, transferencia de archivos y túneles) y el número de conexiones activas.

Según Check Point Research, el hecho de que el malware envíe datos relacionados con la arquitectura de la CPU y las funcionalidades admitidas al actor de amenazas sugiere que los atacantes podrían tener otras versiones que admiten diferentes dispositivos y conjuntos de funcionalidades.

El malware se comunica con su servidor C2 mediante el protocolo HTTP en el puerto 80, cifrando el contenido con un esquema de encriptación personalizado. El uso de este método garantiza que los datos se puedan transmitir, ya que los dispositivos generalmente usan tal método para comunicarse en redes y el puerto 80 generalmente no está bloqueado por firewalls. El contenido HTTP también tiene encabezados específicos codificados en el malware que los investigadores encontraron en foros y repositorios de código de sitios web chinos, e incluye el código de idioma zh-CN específico de China. Además, los errores de ortografía en el código indican que el desarrollador podría no ser un hablante nativo de inglés.

La funcionalidad de túnel permite a los atacantes crear una cadena de nodos, siendo cada nodo un dispositivo comprometido. Cada nodo solo tiene información sobre los nodos anteriores y siguientes, lo que dificulta el rastreo de los atacantes, ya que pueden usar varios nodos diferentes para comunicarse con el implante. Además, en caso de que se elimine repentinamente un nodo, el atacante aún puede enrutar el tráfico a través de un nodo diferente en la cadena.

Vínculos entre Camaro Dragon y Mustang Panda

Check Point Research menciona el uso de código encontrado solo en foros de programación chinos y el uso de un parámetro de idioma zh-cn en los encabezados HTTP utilizados por el implante. Los investigadores también mencionan el descubrimiento de una amplia variedad de herramientas utilizadas por el atacante, algunas de las cuales se asocian comúnmente con actores de amenazas patrocinados por el Estado chino.

Protege tus contraseñas con PAM: Tu aliado para la seguridad

La actividad del grupo tiene coincidencias significativas con otro actor de amenazas APT patrocinado por el Estado chino llamado Mustang Panda. La coincidencia más fuerte observada por Check Point consiste en que Camaro Dragon utiliza la misma dirección IP que Mustang Panda para los servidores C2, pero otros elementos no revelados hacen que los investigadores indiquen que "hay suficiente evidencia para sugerir que Camaro Dragon tiene coincidencias significativas con Mustang Panda, pero no podemos decir que esto sea una coincidencia completa o que estos dos sean el mismo grupo".

En el caso de Horse Shell, es posible que otros actores de amenazas lo utilicen, especialmente dadas las relaciones entre Camaro Dragon y Mustang Panda. Incluso es posible que Mustang Panda lo utilice en el futuro para sus propias operaciones.

Los implantes de routers son una amenaza en crecimiento

Los implantes de routers no son muy populares entre los atacantes porque requieren habilidades de desarrollo más avanzadas. En el caso de Horse Shell, se necesitaba un buen conocimiento de los sistemas operativos basados en MIPS32. También es necesario ser propietario de uno o varios routers para poder desarrollar y probar el código antes de implementarlo en un ataque real.

Por otro lado, los dispositivos como los routers son menos monitoreados y se espera que sean menos propensos a ser comprometidos. En los últimos años, han surgido infecciones de routers.

En 2018, con el APT Slingshot, los atacantes aprovecharon una vulnerabilidad en los routers Mikrotik para instalar malware con el objetivo de infectar al administrador del router y avanzar con su ataque.

En 2021, el equipo de respuesta a emergencias informáticas del gobierno francés CERT-FR informó que el actor de amenazas chino APT31 (también conocido como Judgment Panda o Zirconium) utilizaba routers de oficina en casa pequeña comprometidos, principalmente de Pakedge, Sophos y Cisco. La agencia descubrió alrededor de 1,000 direcciones IP utilizadas por el atacante durante su campaña de ataque.

Cómo configurar un servidor VPN para hacer conexiones a través de firewalls

En 2022, el malware ZuoRAT utilizado por un actor de amenazas desconocido, pero posiblemente patrocinado por el Estado, atacó routers SOHO de ASUS, Cisco, DrayTek y Netgear.

En 2023, el malware Hiatus golpeó a Estados Unidos y Europa, apuntando a routers de DrayTek que son ampliamente utilizados por organizaciones medianas, incluidas compañías farmacéuticas, empresas de servicios de TI, firmas de consultoría y gobiernos.

El mes pasado, el actor de amenazas ruso APT28 (también conocido como Fancy Bear, Strontium o Pawn Storm) aprovechó una vulnerabilidad en routers Cisco para atacar a instituciones gubernamentales de Estados Unidos y otras organizaciones en Europa y Ucrania.

Los expertos de Check Point Research expresan su preocupación por las intrusiones en routers y escriben que "tales capacidades y tipos de ataques son de interés y enfoque constantes de actores de amenazas afiliados a China".

Los expertos en el campo esperan que las intrusiones en routers aumenten en el futuro.

Cómo detectar esta amenaza y protegerse de ella

Check Point recomienda encarecidamente verificar las comunicaciones de red HTTP y buscar los encabezados HTTP específicos utilizados por el malware. Estos encabezados han sido compartidos en foros de programación en chino, por lo que también podrían indicar un ataque de actores de amenazas distintos a Camaro Dragon.

¡Alerta! Un nuevo gusano de Linux está propagándose

Se debe verificar el sistema de archivos de TP-Link en los dispositivos de router WR940 en busca de la presencia de los archivos informados y modificaciones de los archivos existentes.

Dado que se desconoce la infección inicial para instalar el firmware modificado en los routers, se recomienda encarecidamente implementar siempre parches y mantener todo el software y firmware actualizados para evitar ser comprometido por atacantes que aprovechan una vulnerabilidad común.

Se recomienda cambiar las credenciales predeterminadas en dichos dispositivos para que los atacantes no puedan iniciar sesión fácilmente, ya que algunos routers están configurados con credenciales predeterminadas, que son de conocimiento público y podrían ser utilizadas por cualquier persona para iniciar sesión en el router.

La gestión remota de los routers solo debe realizarse desde la red interna; no debe ser accesible desde Internet.

Se recomienda monitorear la actividad del router y verificar los registros en busca de anomalías, actividad sospechosa o intentos de acceso no autorizados.

Cuánto cuesta instalar y mantener un firewall empresarial

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Camaro Dragon: Amenaza cibernética china compromete routers TP-Link y roba información , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.