Check Point Software revela implementação de firmware malicioso em roteadores TP-Link

Check Point Software revela implementação de firmware malicioso em roteadores TP-Link . CPR verificou que o firmware malicioso permitia aos atacantes obter o controle total dos dispositivos infectados.

A Check Point Research verificou que o firmware malicioso permitia aos atacantes obter o controle total dos dispositivos infectados e acessar redes comprometidas, evitando sua detecção; os ataques foram atribuídos a um grupo APT patrocinado pelo estado chinês e denominado “Camaro Dragon

A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd. (NASDAQ: CHKP), uma fornecedora líder de soluções de cibersegurança global, tem monitorado uma série de ataques cibernéticos direcionados a entidades de relações exteriores europeias, os quais foram vinculados a um grupo de Advanced Persistent Threat (APT) patrocinado pelo estado chinês chamado “Camaro Dragon” (nome dado pela equipe da CPR).

A equipe da Check Point Research fez uma análise abrangente dos ataques do “Camaro Dragon”, revelando uma implementação de firmware malicioso feito sob medida para os populares roteadores TP-Link. Chamado de “Horse Shell”, o backdoor personalizado fornece aos atacantes controle total dos dispositivos infectados e permite que o agente da ameaça mantenha suas atividades de modo anônimo, sem detecção, e acesse redes comprometidas.

O Ataque

A investigação sobre a atividade do “Camaro Dragon” foi de uma campanha direcionada principalmente a entidades europeias de relações exteriores. No entanto, apesar de se ter encontrado o “Horse Shell” na infraestrutura de ataque, não se sabe quem são as vítimas da implementação nos roteadores. 

Aprendendo com a história, as implementações nos roteadores são frequentemente efetuadas em dispositivos arbitrários sem nenhum interesse particular, com o objetivo de criar uma cadeia de ligações entre as principais infecções e o comando e controle reais. Em outras palavras, infectar um roteador doméstico não significa que o proprietário foi especificamente visado, mas sim que ele é apenas um meio para atingir um objetivo.

A equipe da CPR não tem certeza de como os atacantes conseguiram infectar os dispositivos do roteador com sua implementação maliciosa. É provável que eles tenham obtido acesso a esses dispositivos por meio de busca de vulnerabilidades conhecidas ou direcionando dispositivos que usavam senhas padrão ou fracas e fáceis de adivinhar para autenticação. Essas descobertas não apenas contribuem para uma melhor compreensão do grupo “Camaro Dragon” e seu conjunto de ferramentas, mas também para a comunidade de segurança cibernética em geral. 

Proteção da rede

Por meio de uma investigação contínua, a Check Point Research visa fornecer uma melhor compreensão das técnicas e táticas utilizadas pelo grupo de APT “Camaro Dragon” e contribuir para melhorar a postura de segurança de organizações e indivíduos. Os especialistas da CPR indicam as seguintes recomendações para detecção e proteção:

Atualização de Software

A atualização regular do firmware e do software dos roteadores e de outros dispositivos é crucial para evitar vulnerabilidades que os atacantes possam explorar.

Credenciais predefinidas

Alterar as credenciais de início de sessão predefinidas de qualquer dispositivo ligado à Internet para senhas mais fortes e utilizar a autenticação de múltiplo fator são ações necessárias sempre que possível. Os atacantes procuram frequentemente na Internet dispositivos que ainda utilizam credenciais predefinidas ou fracas.

Utilizar soluções de segurança de rede

As soluções de segurança de rede com recursos de prevenção avançada de ameaças e proteção de rede em tempo real contra ataques sofisticados, como os utilizados pelo grupo “Camaro Dragon”, devem ser adotadas. Isto inclui proteção contra explorações, malware e outras ameaças avançadas.

A implementação do ‘Horse Shell’ no roteador é uma peça complexa de firmware malicioso que mostra os recursos avançados dos atacantes patrocinados pelo estado chinês. Ao analisar essa implementação, podemos obter informações valiosas sobre as táticas e técnicas usadas por esses atacantes, o que pode contribuir para uma melhor compreensão e defesa contra ameaças semelhantes no futuro”, informa Itay Cohen, líder de pesquisa na Check Point Research (CPR).

A natureza independente de firmware dos componentes implementados sugere que uma ampla gama de dispositivos e fornecedores podem estar em risco. É fundamental que as organizações e os indivíduos mantenham a vigilância atualizando seus dispositivos de rede regularmente e implementando fortes medidas de segurança para combater essas ameaças avançadas”, recomenda Cohen.

A Check Point Software oferece o Quantum IoT Protect que identifica e mapeia automaticamente os dispositivos IoT e avalia o risco, impede o acesso não autorizado a e de dispositivos IoT/OT com perfil e segmentação de Zero Trust e bloqueia ataques contra dispositivos IoT. “É preciso que os fornecedores possam fazer o melhor para proteger os seus dispositivos contra malware e ciberataques. Os novos regulamentos nos Estados Unidos e na Europa exigem que os fornecedores e fabricantes garantam que os dispositivos não representem riscos para os usuários e incluam funcionalidades de segurança”, diz Cohen.

Além desse, o Check Point IoT Embedded com Nano Agent® fornece proteção em tempo de execução no dispositivo, permitindo dispositivos ligados com segurança de firmware incorporada. O Nano Agent® é um pacote personalizado que fornece as principais capacidades de segurança e impede a atividade maliciosa em roteadores, dispositivos de rede e outros dispositivos IoT. O Check Point IoT Nano Agent® tem capacidades avançadas de proteção de memória, detecção de anomalias e integridade do fluxo de controle, e serve como uma linha da frente para proteger os dispositivos IoT.

Para detalhes mais técnicos, consulte o site da Check Point Research (CPR).

Veja também:

Sobre mindsecblog 2549 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Telemedicina e internet das coisas conectam salas cirúrgicas para procedimentos cardíacos em crianças | Minuto da Segurança da Informação

Deixe sua opinião!