Una vulnerabilidad de firmware en routers TP-Link está siendo aprovechada por Camaro Dragon
Entre los componentes dañinos descubiertos en esta campaña se encuentra el backdoor Horse Shell, que permite tomar el control de los dispositivos afectados.
Check Point Research advierte sobre la existencia de una vulnerabilidad de firmware en los routers de TP-Link que está siendo aprovechada por el grupo chino de amenazas persistentes avanzadas Camaro Dragon.
Su investigación ha revelado un implante de firmware malicioso creado específicamente para estos routers y con diferentes componentes dañinos. Entre ellos se encuentra el backdoor Horse Shell con el que los atacantes pueden eludir las protecciones y tomar el control de los dispositivos infectados.
Los expertos explican que los implantes de routers se suelen instalar en dispositivos arbitrarios para crear una cadena de nodos entre las infecciones principales y el comando y control. Por tanto, “infectar un enrutador doméstico no significa que se esté atacando al propietario, sino que es un medio para alcanzar un objetivo”.
Check Point Research baraja la posibilidad de que los delincuentes obtuvieran acceso mediante un escaneado en busca de vulnerabilidades o apuntando a dispositivos con contraseñas predeterminadas o débiles.
La actividad de Camaro Dragon ha derivado en una campaña de ciberataques contra entidades de asuntos exteriores en Europa y se estima que un amplio conjunto de dispositivos y proveedores pueden estar en riesgo. Check Point Research indica que no se han podido concretar las víctimas.
Para protegerse, las recomendaciones van desde aplicar las actualizaciones de software y contar con soluciones de seguridad de red a evitar las credenciales que se entregan por defecto.