Qu’est-ce qui vient de se passer? Un groupe parrainé par la Chine mène une nouvelle cyberattaque sophistiquée contre des cibles européennes sensibles, et les pirates informatiques couvrent efficacement leurs traces en abusant des routeurs infectés appartenant à des utilisateurs domestiques inconscients. Les routeurs sont principalement fabriqués par TP-Link, mais la menace pourrait se propager ailleurs.
Les chercheurs de Check Point ont découvert une autre menace persistante avancée (APT), qui est exploitée par un groupe parrainé par la Chine identifié comme « Camaro Dragon ». L’attaque, qui chevauche principalement des activités malveillantes précédemment attribuées à l’équipage « Mustang Panda », est conçue pour brouiller les pistes derrière les routeurs TP-Link infectés par un composant malveillant complexe.
Le groupe Camaro Dragon a ciblé des organisations et des individus liés aux affaires étrangères européennes, Check Point explique, avec « un chevauchement d’infrastructure important » avec le groupe Mustang Panda. Au cours de leur enquête, les chercheurs ont découvert un implant de micrologiciel malveillant conçu pour fonctionner sur les routeurs fabriqués par TP-Link, avec plusieurs composants, dont une porte dérobée personnalisée nommée « Horse Shell ».
La porte dérobée a plusieurs fonctions principales, notamment un shell distant pour l’exécution de commandes sur l’appareil infecté, le transfert de fichiers pour le téléchargement et le téléchargement, et l’échange de données entre deux appareils infectés via le protocole SOCKS5. SOCKS5 peut être utilisé comme connexion TCP proxy vers une adresse IP arbitraire, pour le transfert de paquets UDP, et finalement pour créer une chaîne d’appareils infectés pour masquer l’origine et la destination d’une connexion cryptée.
Grâce à ce micrologiciel malveillant, les pirates de Camaro Dragon peuvent masquer efficacement leur véritable centre de commande et de contrôle en traitant les appareils domestiques infectés comme un moyen d’atteindre un objectif. Check Point indique que si Horse Shell a été trouvé sur l’infrastructure d’attaque, les véritables victimes de l’implant du routeur sont encore inconnues.
Les chercheurs ne savent même pas comment les attaquants ont réussi à infecter les routeurs avec le micrologiciel malveillant, bien qu’ils aient probablement scanné l’ensemble d’Internet à la recherche de vulnérabilités connues ou d’identifiants de connexion faibles/par défaut. De plus, bien qu’ils soient conçus pour attaquer les routeurs TP-Link, les composants ont une nature « agnostique » et pourraient très bien être réutilisés pour attaquer un plus large éventail d’appareils et de fabricants.
Check Point Research affirme que la découverte de l’implant de Camaro Dragon pour les routeurs TP-Link souligne l’importance de prendre des mesures de protection contre des attaques similaires. La société de sécurité a quelques recommandations pour détecter et protéger contre les installations de micrologiciels malveillants, y compris l’installation régulière de mises à jour logicielles pour les routeurs domestiques/SOHO, la modification des informations d’identification par défaut de tout appareil connecté à Internet et l’utilisation de mots de passe plus forts et d’une authentification multifacteur dans la mesure du possible.
