Investigadores de ciberseguridad de Check Point Research (CPR) han descubierto una nueva puerta trasera para enrutadores domésticos y de oficina. (se abre en una pestaña nueva).
La puerta trasera, llamada Horse Shell, permite a los actores de amenazas el control total del punto final infectado, dicen los investigadores, además de permitirles permanecer ocultos y dar acceso a la red más amplia.
Según CPR, el grupo detrás del ataque es Camaro Dragon, un grupo chino de amenazas persistentes avanzadas (APT) con vínculos directos con el gobierno chino. Su infraestructura también «se superpone significativamente» con la de otro atacante chino patrocinado por el estado: Mustang Panda.
Dirigirse a dispositivos mal protegidos
Si bien los investigadores encontraron Horse Shell en los enrutadores TP-Link, afirman que el malware es independiente del firmware y no se dirige a marcas específicas. En cambio, «una amplia gama de dispositivos y proveedores pueden estar en riesgo», dicen, lo que sugiere que es más probable que los atacantes busquen equipos con vulnerabilidades conocidas o con credenciales de inicio de sesión débiles y fáciles de adivinar.
Tampoco pudieron identificar exactamente quién es el objetivo de la campaña. Si bien Camaro Dragon buscó instalar Horse Shell en enrutadores pertenecientes a entidades de asuntos exteriores europeos, es difícil decir a quién perseguían.
“Aprendiendo de la historia, los implantes de enrutadores a menudo se instalan en dispositivos arbitrarios sin ningún interés particular, con el objetivo de crear una cadena de nodos entre las infecciones principales y el comando y control real”, explica CPR. “En otras palabras, infectar un enrutador doméstico no significa que el propietario de la casa fuera un objetivo específico, sino que son solo un medio para lograr un objetivo”.
Para protegerse contra Camaro Dragon, Mustang Panda y otros actores maliciosos, las empresas deben asegurarse de actualizar regularmente el firmware y el software de los enrutadores y otros dispositivos; actualizar periódicamente las contraseñas y otras credenciales de inicio de sesión y utilizar la autenticación multifactor (MFA) siempre que sea posible; y utilizar soluciones de protección de endpoints, firewalls y otros programas antivirus de última generación.
Finalmente, las empresas deben educar a sus empleados sobre los peligros del phishing y la ingeniería social para asegurarse de que no compartan sin saberlo sus credenciales de inicio de sesión con personas malintencionadas.