16.05.2023 IT Cybersécurité Firmware IT

Check Point découvre un système d'exploitation malveillant ciblant les routeurs TP-Link et lié au groupe APT chinois

check point research camaro dragon firmware

Check Point Research (CPR) a enquêté sur une série de cyberattaques ciblées contre des agences européennes des affaires étrangères et les a attribuées à un groupe APT (Advanced Persistent Threat) parrainé par l’État chinois et baptisé “Camaro Dragon” par CPR. Les chercheurs ont découvert un système d’exploitation malveillant pour les routeurs TP-Link qui contient plusieurs composants malveillants, notamment une porte dérobée personnalisée appelée “Horse Shell”. Cela a permis aux attaquants de prendre le contrôle total de l’appareil infecté, de ne pas être détectés et d’accéder à des réseaux compromis.

Les investigations du CPR sur les activités de “Camaro Dragon” ont porté sur une campagne ciblant principalement les agences européennes des affaires étrangères. Bien que Horse Shell ait été trouvé sur l’infrastructure attaquante, on ne sait pas exactement qui sont les victimes des implants de routeur. Les implants de routeurs sont souvent installés sur des appareils aléatoires sans importance particulière, dans le but de créer une chaîne de nœuds entre les infections principales et les véritables fonctions de commande et de contrôle. En d’autres termes, l’infection d’un routeur domestique ne signifie pas que son propriétaire était une cible spécifique, mais plutôt qu’il n’est qu’un moyen d’arriver à ses fins.

On ne sait pas comment les attaquants ont réussi à infecter les routeurs avec leur système d’exploitation malveillant. Il est probable qu’ils aient accédé à ces appareils en les analysant à la recherche de vulnérabilités connues ou en ciblant des appareils utilisant des mots de passe par défaut ou faibles pour l’authentification. Ces résultats permettent non seulement de mieux cerner le groupe Camaro Dragon et sa palette d’outils, mais ils présentent également un intérêt pour l’ensemble de la communauté de la cybersécurité, car ils fournissent des informations essentielles pour comprendre les menaces similaires et s’en défendre à l’avenir.

La découverte de ce firmware malveillant indique qu’un grand nombre d’appareils et de fournisseurs peuvent être menacés et souligne l’importance de prendre des mesures de protection contre des attaques similaires” explique Zahier Madhar, security engineer expert chez Check Point Software. “Même un routeur qui semble fonctionner correctement doit être vérifié régulièrement. Pour tout produit connecté à l’internet, il est important de mettre régulièrement à jour le firmware et le logiciel afin d’éviter les vulnérabilités. Il est également conseillé de changer les identifiants de connexion par défaut de tout appareil connecté à l’internet par des mots de passe forts et d’utiliser l’authentification multifactorielle dans la mesure du possible. Les attaquants parcourent souvent l’internet à la recherche d’appareils utilisant encore des identifiants par défaut ou faibles.

Source: Check Point