Um grupo de hackers, conhecido como "Camaro Dragon" e tendo ligações com o governo da China, encontra-se a ser classificado como responsável de uma onda de ataques contra routers da TP-Link.
O grupo encontra-se a explorar falhas nestes routers, levando à instalação de malware nos mesmos que são depois usados para ataques contra instituições europeias.
O malware encontra-se a ser distribuído sobre falsas atualizações de firmware para os routers da TP-Link, que uma vez instaladas, podem permitir o controlo remoto do dispositivo pelos atacantes, e levar a que estes iniciem ataques a partir de redes domésticas.
De acordo com os investigadores da empresa Check Point, o grupo não se encontra a focar propriamente em redes com dados sensíveis, mas sim em qualquer router que possa estar vulnerável a partir de ligações domésticas. Com isto, o ataque não parece ser direcionado, uma vez que os atacantes se focam em tentar alargar a rede para o máximo de dispositivos possíveis.
O malware encontra-se a ser apelidado de "Horse Shell", e terá sido descoberto inicialmente pela empresa Check Point em Janeiro de 2023. Os investigadores não descobriram a causa concreta que leva os dispositivos da TP-Link a serem os escolhidos para a instalação do malware.
É possível que os atacantes estejam a explorar uma vulnerabilidade ainda desconhecida em alguns modelos, ou podem encontrar-se simplesmente à procura de routers abertos para a internet, e a testar dados de acesso à interface dos mesmos, instalando o firmware modificado quando tal é identificado.
O firmware modificado possui praticamente o mesmo funcionamento que o firmware original da TP-Link, mas conta com scripts dedicados para permitir realizar ações no router de forma remota, ou o acesso dos atacantes – uma backdoor para o mesmo.
Os dispositivos infetados estão a ser usados para realizar ataques em larga escala contra várias instituições europeias, aproveitando o poder da rede criada pelo malware para tal.
Nenhum comentário
Seja o primeiro!