I ricercatori di Check Point hanno rilevato una serie di attacchi effettuati dal gruppo cinese Camaro Dragon contro alcune organizzazioni europee. I cybercriminali sono riusciti ad installare nei router TP-Link un firmware infetto che nasconde la backdoor Horse Shell. Il firmware può essere facilmente adattato per i router di altri produttori.
Horse Shell: backdoor per router TP-Link
Gli esperti di Check Point non hanno individuato come avviene l’infezione iniziale. Probabilmente i cybercriminali hanno sfruttato note vulnerabilità o effettuato un attacco di forza bruta per scoprire le credenziali di amministratore (spesso gli utenti lasciato quelle predefinite). Dopo aver ottenuto l’accesso all’interfaccia web del router è possibile caricare il firmware infetto.
Questa versione impedisce di ripristinare il firmware legittimo, in quanto nasconde la pagina per il caricamento. I cybercriminali hanno aggiunto diversi file, eseguiti con uno script, relativi alle tre principali funzionalità della backdoor Horse Shell: accesso remoto, trasferimento di file e comunicazione tramite tunneling SOCKS.
Il malware invia anche varie informazioni al server C2 (command and control), tra cui nome utente, versione del sistema operativo, architettura della CPU, quantità di RAM, indirizzi IP e MAC. La persistenza viene ottenuta con una remote shell che consente l’accesso al router tramite connessione Telnet.
La funzionalità di trasferimento dei file permette di installare altri moduli, rubare dati e diffondere l’infezione attraverso la rete locale. Per rilevare Horse Shell è necessario un completo monitoraggio del traffico. Gli utenti devono inoltre installare l’ultima versione del firmware e utilizzare password più robuste (non quelle predefinite che sono note a tutti).