Investigadores de la división de Inteligencia de Amenazas de Check Point Research descubrieron un firmware malicioso diseñado por el grupo hacktivista chino Camaro Dragon, creado especialmente para los routers de TP- Link, con varios componentes dañinos, entre los que se encuentra Hose Shell.
¿Qué es esto último? Los especialistas lo definen como el backdoor que permite a los atacantes, mientras eluden los sistemas de ciberseguridad para no ser detectados, tomar el control de los dispositivos infectados.
En cuanto a Camaro Dragon, se trata de un grupo patrocinado por el estado chino y, según se muestra en la investigación, a la que tuvo acceso InnovaciónDigital360, su actividad se ha centrado en una campaña dirigida principalmente a las entidades de asuntos exteriores de toda Europa.
Quiénes son las víctimas de Horse Shell
Desgraciadamente, añaden las fuentes, aunque “se encontró la presencia de Horse Shell en las infraestructuras analizadas, no se ha podido determinar quiénes han sido las víctimas”. Dicho esto, remarcan que, los implantes de routers, por lo general, se instalan en dispositivos arbitrarios con el fin de crear una cadena de nodos entre las infecciones principales y el comando y control real. ¿Qué significa esto? “Infectar un enrutador doméstico no significa que se esté atacando al propietario, sino que es un medio para alcanzar un objetivo”, señalan los investigadores.
Por otro lado, describen que es muy factible que el acceso a estos dispositivos lo hayan obtenido mediante un escaneo exhaustivo en busca de vulnerabilidades conocidas o enfocándose a dispositivos que utilizaban contraseñas predeterminadas o débiles para la autenticación.
“Tal y como se puede ver en las capturas compartidas, en el firmware original y legítimo de TP-Link se muestran los detalles de la versión en funcionamiento, así como un botón a través del cual cargar diferentes versiones para actualizar el firmware. Sin embargo, en la versión modificada de los dispositivos comprometidos por Horse Shell, se detectó el añadido de la propiedad CSS “display:none” en el formulario HTML, ocultándose al usuario”, profundizan.
“El hecho de que el firmware de los componentes implantados sea independiente indica que una amplia gama de dispositivos y proveedores pueden estar en riesgo”, cierran.
Artículo publicado originalmente en 18 Jul 2023
