🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Este malware convierte enrutadores domésticos en servidores proxy al servicio de hackers chinos

Un grupo de hackers patrocinado por el estado chino llamado “Camaro Dragon” está infectando enrutadores TP-Link residenciales con un malware personalizado llamado “Horse Shell”. Dicho malware se utiliza para atacar a las organizaciones europeas de asuntos exteriores.

El malware de puerta trasera se implementa en un firmware personalizado y malicioso diseñado específicamente para enrutadores TP-Link para que los hackers puedan lanzar ataques que parecen originarse en redes residenciales.

“Vale la pena señalar que este tipo de ataque no está dirigido específicamente a redes sensibles, sino a redes residenciales y domésticas habituales”. 

“Por lo tanto, infectar un enrutador doméstico no significa necesariamente que el propietario fuera un objetivo específico, sino que su dispositivo era simplemente un medio para un fin para los atacantes”.

Explicación del informe de Check Point

El malware desplegado permite a los atacantes acceso total al dispositivo, incluida la ejecución de comandos de shell, la carga y descarga de archivos y su uso como proxy SOCKS para transmitir la comunicación entre dispositivos.

El implante de firmware Horse Shell para TP-Link fue descubierto por Check Point Research  en enero de 2023, quien dice que la actividad de los hackers se superpone con el grupo de hacking chino “Mustang Panda” recientemente detallado en los  informes de Avast  y  ESET.

Check Point rastrea esta actividad por separado usando el nombre “Camaro Dragon” para el grupo de actividades. Esto a pesar de las similitudes y la considerable superposición con Mustang Panda.

La atribución se realizó en función de las direcciones IP del servidor de los atacantes, las solicitudes con encabezados HTTP codificados que se encuentran en varios sitios web chinos, muchos errores tipográficos en el código binario que muestran que el autor no es un hablante nativo de inglés y similitudes funcionales del troyano con el implante de enrutador de APT31 “Pakdoor”.

Implante de firmware TP-Link

Si bien Check Point no ha determinado cómo los atacantes infectan los enrutadores TP-Link con la imagen de firmware malicioso, dijeron que podría ser mediante la explotación de una vulnerabilidad o la fuerza bruta de las credenciales del administrador.

Una vez que un atacantes obtiene acceso de administrador a la interfaz de administración, puede actualizar el dispositivo de forma remota con la imagen de firmware personalizada.

A través de la investigación, Check Point encontró dos muestras de imágenes de firmware con troyanos para enrutadores TP-Link, que contenían amplias modificaciones y adiciones de archivos.

Check Point comparó el firmware malicioso de TP-Link con una versión legítima y descubrió que las secciones del kernel y uBoot eran las mismas. Sin embargo, el firmware malicioso utilizó un sistema de archivos SquashFS personalizado. Este contenía componentes de archivos maliciosos adicionales que son parte del implante de malware de puerta trasera Horse Shell.

“Partes de él se denominan internamente Horse Shell, por lo que lo usamos para nombrar el implante como un todo. El implante proporciona al atacante 3 funcionalidades principales: shell remota, transferencia de archivos y tunelización”.

Check Point

El firmware también modifica el panel web de administración, evitando que el propietario del dispositivo actualice una nueva imagen de firmware para el enrutador y asegurando la persistencia de la infección.

Firmware estándar (izquierda) y troyano (derecha) que impiden las actualizaciones de firmware

La puerta trasera de Horse Shell

Cuando se inicializa el implante de puerta trasera Horse Shell, le indicará al sistema operativo que no finalice su proceso cuando se emitan los comandos SIGPIPE, SIGINT o SIGABRT, y que se convierta en un demonio para ejecutarse en segundo plano.

La puerta trasera luego se conecta al servidor de comando y control (C2) para enviar el perfil de la máquina de la víctima. El perfil incluye el nombre de usuario, la versión del sistema operativo, la hora, la información del dispositivo, la dirección IP, la dirección MAC y las funciones de implante admitidas.

Comandos

Horse Shell se ejecuta silenciosamente en segundo plano esperando uno de los siguientes tres comandos:

  • Iniciar una shell remota que proporcione a los atacantes acceso total al dispositivo comprometido.
  • Realizar actividades de transferencia de archivos, incluidas la carga y descarga, la manipulación básica de archivos y el listado de directorios.
  • Iniciar la tunelización para ofuscar el origen y el destino del tráfico de red y ocultar la dirección del servidor C2.
Compatibilidad con subcomandos de tunelización

Los investigadores dicen que el implante de firmware Horse Shell es independiente del firmware. En otras palabras, teóricamente podría funcionar en imágenes de firmware para otros enrutadores de diferentes proveedores.

No sorprende ver a hackers patrocinados por estados apuntando a enrutadores poco seguros, a menudo atacados por botnets para ataques DDoS u operaciones de criptominería. Esto se debe a que los enrutadores a menudo se pasan por alto al implementar medidas de seguridad y pueden actuar como una plataforma de lanzamiento sigilosa para los ataques, ofuscando el origen del atacante.

Recomendamos a los usuarios que apliquen la última actualización de firmware para su modelo de enrutador para parchear las vulnerabilidades existentes y cambiar la contraseña de administrador predeterminada a algo más seguro. Sin embargo, aún más crítico, deshabilitar el acceso remoto al panel de administración del dispositivo y hazlo accesible solo desde la red local.

Un tema recurrente

Los dispositivos de red perimetral se han convertido en un objetivo popular para los hackers patrocinados por estados. Por ejemplo, hackers chinos se dirigieron previamente a  los enrutadores Fortinet VPNSonicWall SMA  con implantes de firmware personalizados.

Más recientemente, las agencias de ciberseguridad NCSC del Reino Unido y CISA de Estados Unidos advirtieron que atacantes patrocinados por el estado ruso también estaban vulnerando los enrutadores de Cisco para instalar malware personalizado .

Como estos dispositivos no suelen ser compatibles con las soluciones de seguridad EDR (Detección y Respuesta de Puntos Finales), los atacantes pueden usarlos para robar datos y propagarse lateralmente. Asimismo, para realizar más ataques con menos oportunidades de detección.

“Hay un tema recurrente del enfoque continuo del espionaje cibernético entre China y el nexo en los dispositivos de red, dispositivos IOT, etc. que no son compatibles con las soluciones EDR”.

Charles Carmakal, CTO de Mandiant

Por esta razón, es vital que los administradores de red instalen todos los parches de seguridad disponibles en los dispositivos perimetrales tan pronto como estén disponibles y no expongan públicamente las consolas de administración.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información