Η Check Point Research ανακαλύπτει ένα κακόβουλο πρόγραμμα firmware “Horse Shell” που στοχεύει routers της TP-Link

Η Check Point Research  (CPR) παρακολουθεί μια σειρά στοχευμένων κυβερνοεπιθέσεων σε Ευρωπαϊκές οντότητες εξωτερικών υποθέσεων, οι οποίες έχουν συνδεθεί με την χρηματοδοτούμενη από το κράτος Κινεζική ομάδα Advanced Persistent Threat (APT), την οποία η CPR έχει ονομάσει “Camaro Dragon”.

Σε πρόσφατο άρθρο στο blog της, η Check Point Research μοιράστηκε την ολοκληρωμένη ανάλυση των επιθέσεων της Camaro Dragon, αποκαλύπτοντας ένα κακόβουλο εμφύτευμα υλικολογισμικού προσαρμοσμένο για τους δημοφιλείς TP-Link routers. To προσαρμοσμένο backdoor με το όνομα “Horse Shell” παρέχει στους επιτιθέμενους πλήρη έλεγχο των μολυσμένων συσκευών και επιτρέπει στον παράγοντα απειλής να ανωνυμοποιεί τις δραστηριότητές του και να έχει πρόσβαση στα παραβιασμένα δίκτυα.

Όχι μόνο TP-Link

Η ανακάλυψη της φύσης των εμφυτευμένων εξαρτημάτων ανεξάρτητα από το υλικολογισμικό δείχνει ότι ένα ευρύ φάσμα συσκευών και πωλητών μπορεί να βρίσκεται σε κίνδυνο. Η Check Point Research έχει τονίσει τη σημασία της ενημέρωσης και της ασφάλειας των συσκευών δικτύου από πιθανές απειλές.

Προστασία

Μέσω της συνεχιζόμενης έρευνάς, η Check Point Research στοχεύει στην καλύτερη κατανόηση των τεχνικών και των τακτικών που χρησιμοποιούνται από την ομάδα Camaro Dragon APT και συμβάλλει στη βελτίωση της στάσης ασφαλείας τόσο των οργανισμών όσο και των ατόμων.

Για την προστασία από παρόμοιες επιθέσεις, η Check Point Research συνιστά προστασία δικτύου, όπως παρακολούθηση της κυκλοφορίας με μοναδικές κεφαλίδες με σκληρό κώδικα, τακτική ενημέρωση υλικολογισμικού και λογισμικού συσκευής και αλλαγή προεπιλεγμένων διαπιστευτηρίων σύνδεσης σε συσκευές συνδεδεμένες στο διαδίκτυο.

Σχόλιο: Itay Cohen, επικεφαλής έρευνας στην Check Point Research:

“Το εμφύτευμα router “Horse Shell” είναι ένα περίπλοκο στοιχείο κακόβουλου υλικολογισμικού που παρουσιάζει τις προηγμένες δυνατότητες των κινεζικών επιτιθέμενων που χρηματοδοτούνται από το κράτος. Μέσω της ανάλυσης αυτού του εμφυτεύματος, μπορούμε να αποκτήσουμε πολύτιμες γνώσεις σχετικά με τις τακτικές  και τις τεχνικές που χρησιμοποιούνται από αυτούς τους επιτιθέμενους, οι οποίες μπορούν τελικά να συμβάλουν στην καλύτερη κατανόηση και άμυνα έναντι παρόμοιων απειλών στο μέλλον.

Η φύση των εμφυτευμένων εξαρτημάτων ανεξαρτήτως υλικολογισμικού υποδηλώνει ότι ένα ευρύ φάσμα συσκευών και πωλητών θα μπορούσε ενδεχομένως να κινδυνεύει. Είναι ζωτικής σημασίας για τους οργανισμούς και τα άτομα να επαγρυπνούν ενημερώνοντας τακτικά τις συσκευές δικτύου τους και εφαρμόζοντας ισχυρά μέτρα ασφαλείας για την καταπολέμηση τέτοιων προηγμένων απειλών».