Исследователи кибербезопасности из Check Point Research (CPR) обнаружили новый бэкдор для домашних и офисных маршрутизаторов. (откроется в новой вкладке).
По словам исследователей, бэкдор, получивший название «Horse Shell», позволяет злоумышленникам полностью контролировать зараженную конечную точку, скрывая ее и получая доступ к более крупной сети.
По данным CPR, за атакой стоит Camaro Dragon — китайская группа Advanced Persistent Threat (APT), имеющая прямые связи с правительством Китая. Его инфраструктура также «значительно» совпадает с инфраструктурой другого спонсируемого китайским государством злоумышленника — Mustang Panda.
Цель состоит в том, чтобы нацеливаться на плохо защищенные устройства.
Хотя исследователи обнаружили Horse Shell на маршрутизаторах TP-Link, они утверждают, что вредоносное ПО не зависит от прошивки и не нацелено на конкретные бренды. Вместо этого «под угрозой находится широкий спектр устройств и поставщиков», говорят они, предполагая, что злоумышленники с большей вероятностью будут использовать устройства с известными уязвимостями или со слабыми и легко угадываемыми учетными данными.
Они также не могли точно определить, кто является целью кампании. Пока Camaro Dragon пытался установить Horse Shell на роутеры в европейских внешнеполитических ведомствах, сложно сказать, на кого они нацелились.
«История показывает, что имплантаты маршрутизатора часто устанавливаются на случайные устройства без особого интереса с целью создания цепочки узлов между основными инфекциями и фактической функцией управления и контроля», — объясняет CPR. «Другими словами, заражение домашнего маршрутизатора не означает, что домовладелец был конкретно атакован, а является лишь средством для достижения цели».
Для защиты от Camaro Dragon, Mustang Panda и других злоумышленников предприятия должны регулярно обновлять прошивку и программное обеспечение маршрутизаторов и других устройств; Регулярно обновляйте пароли и другие учетные данные и по возможности используйте многофакторную аутентификацию (MFA); и используйте самые современные решения для защиты конечных точек, брандмауэры и другие антивирусные программы.
Наконец, организациям следует информировать своих сотрудников об опасностях фишинга и социальной инженерии, чтобы они не передавали свои учетные данные по незнанию злоумышленникам.
