Ciberseguridad

Cómo es el firmware malicioso lanzado por el grupo hacktivista Camaro Dragon para los routers de TP-Link

  • Home
  • Ciber Seguridad Informatica

Camaro Drago, según detalla la división de Inteligencia de Amenazas de Check Point Research, es un grupo patrocinado por el estado chino y su actividad se ha centrado en las entidades de asuntos exteriores.

Actualizado el 21 Dic 2023

Camaro Dragon

Investigadores de la división de Inteligencia de Amenazas de Check Point Research descubrieron un firmware malicioso diseñado por el grupo hacktivista chino Camaro Dragon, creado especialmente para los routers de TP- Link, con varios componentes dañinos, entre los que se encuentra Hose Shell. 

¿Qué es esto último? Los especialistas lo definen como el backdoor que permite a los atacantes, mientras eluden los sistemas de seguridad para no ser detectados, tomar el control de los dispositivos infectados.

En cuanto a Camaro Dragon, se trata de un grupo patrocinado por el estado chino y, según se muestra en la investigación, a la que tuvo acceso InnovaciónDigital360, su actividad se ha centrado en una campaña dirigida principalmente a las entidades de asuntos exteriores de toda Europa. 

Quiénes son las víctimas

Desgraciadamente, añaden las fuentes, aunque “se encontró la presencia de Horse Shell en las infraestructuras analizadas, no se ha podido determinar quiénes han sido las víctimas”. Dicho esto, remarcan que, los implantes de routers, por lo general, se instalan en dispositivos arbitrarios con el fin de crear una cadena de nodos entre las infecciones principales y el comando y control real. ¿Qué significa esto? “Infectar un enrutador doméstico no significa que se esté atacando al propietario, sino que es un medio para alcanzar un objetivo”, señalan los investigadores.

Por otro lado, describen que es muy factible que el acceso a estos dispositivos lo hayan obtenido mediante un escaneo exhaustivo en busca de vulnerabilidades conocidas o enfocándose a dispositivos que utilizaban contraseñas predeterminadas o débiles para la autenticación.

“Tal y como se puede ver en las capturas compartidas, en el firmware original y legítimo de TP-Link se muestran los detalles de la versión en funcionamiento, así como un botón a través del cual cargar diferentes versiones para actualizar el firmware. Sin embargo, en la versión modificada de los dispositivos comprometidos por Horse Shell, se detectó el añadido de la propiedad CSS “display:none” en el formulario HTML, ocultándose al usuario”, profundizan.

-

“El hecho de que el firmware de los componentes implantados sea independiente indica que una amplia gama de dispositivos y proveedores pueden estar en riesgo”, cierran.

Artículo publicado originalmente en 18 Jul 2023

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Nicolás Della Vecchia

Periodista especializado en innovación, tecnología y negocios.

Sígueme en
Temas principales

Especificaciones

A
Amenazas
A
Ataques

Nota 1 de 4