Camaro Dragon se aprovecha de los routers TP-Link
Check Point Research publicó un informe sobre las actividades de Camaro Dragon, un grupo de amenazas persistentes avanzadas (APT) patrocinado por el estado chino que utilizaba un implante personalizado para comprometer un modelo específico de routers TP-Link.
Los investigadores descubrieron un tesoro de archivos utilizados en los ataques dañinos de Camaro Dragon al examinar las técnicas del grupo. En particular, dos de estos archivos eran imágenes de firmware de TP-Link para el modelo de router WR940, que se introdujo por primera vez en 2014. Estos archivos de implante se utilizaron claramente en un esfuerzo de asalto centrado especialmente en organizaciones europeas de Asuntos Exteriores.
Check Point descubrió cambios cruciales en el sistema de archivos comparando meticulosamente archivos ilegales con imágenes de firmware auténticas para el router TP-Link WR940. Se añadieron cuatro archivos al firmware y se actualizaron dos archivos existentes para ejecutar sin problemas el implante malicioso.
Los atacantes modificaron con el archivo SoftwareUpgradeRpm.htm, que es un componente válido del firmware al que se puede acceder a través de la interfaz web del router. Dado que la versión modificada esencialmente oculta la opción de actualización del firmware, los administradores no pueden ejecutar actualizaciones manuales.El segundo hallazgo implica la manipulación del archivo /etc/rc.d/rcS, que forma parte de los procedimientos de arranque del sistema operativo. Los autores de la amenaza incluyeron la ejecución de tres archivos extra dentro del sistema de archivos del firmware, garantizando la persistencia del implante incluso después de reiniciar el sistema.
Uno de los archivos ejecutados durante la secuencia de arranque es /usr/bin/shell, que actúa como un bind shell protegido por contraseña en el puerto 14444. Esto significa que para acceder a la shell es necesario introducir la contraseña correcta. Un examen rápido del archivo permitió descubrir la contraseña (J2)3#4G@Iie), que estaba almacenada en texto claro.
Otro archivo de interés, /usr/bin/timer, sirve como una capa extra de persistencia para los atacantes. Su único propósito es asegurar que /usr/bin/udhcp permanece operativo, siendo este último archivo el implante principal. Apodado Horse Shell por Check Point Research, el principal implante malicioso, /usr/bin/udhcp, opera como un demonio en segundo plano y proporciona a los atacantes tres funcionalidades clave: capacidades de shell remoto, habilidades de transferencia de archivos y tunelización.
Además, el archivo /usr/bin/sheel desempeña un papel crucial en la escritura y lectura de una configuración C2 (comando y control), que almacena en una partición separada del dispositivo comprometido. Al interactuar directamente con un dispositivo de bloque, el archivo pretende eludir la detección y escapar al aviso de los administradores.
Una vez ejecutado, el implante udhcp recopila y transmite activamente varios puntos de datos a su servidor C2, incluidos los nombres de usuario y de sistema, la versión y la hora del sistema operativo, la arquitectura y el recuento de CPU, la memoria RAM total, las direcciones IP y MAC, las funciones del implante compatibles (shell remoto, transferencia de archivos y tunelización) y el número de conexiones activas.
Check Point Research sugiere que la inclusión de la arquitectura de la CPU y las funcionalidades soportadas en los datos transmitidos indica la posibilidad de que los atacantes tengan otras versiones del malware adaptadas a diferentes dispositivos y funcionalidades.
Las fuentes de este artículo incluyen un artículo en TechRepublic.