Check Point Research (CPR) heeft een reeks gerichte cyberaanvallen tegen Europese instanties voor buitenlandse zaken onderzocht en deze toegeschreven aan een door de Chinese staat gesponsorde Advanced Persistent Threat (APT) groep die door CPR “Camaro Dragon” is genoemd. De onderzoekers ontdekten een kwaadaardig besturingssysteem voor TP-Link routers dat verschillende schadelijke componenten bevat, waaronder een aangepaste backdoor met de naam “Horse Shell”. Hierdoor konden aanvallers de volledige controle over het geïnfecteerde toestel overnemen, onopgemerkt blijven en toegang krijgen tot gecompromitteerde netwerken.
CPR’s onderzoek naar de activiteiten van ‘Camaro Dragon’ betrof een campagne die voornamelijk gericht was op Europese instanties voor buitenlandse zaken. Hoewel Horse Shell op de aanvallende infrastructuur werd gevonden, is het onduidelijk wie de slachtoffers van de routerimplantatie zijn. Routerimplantaten worden vaak geïnstalleerd op willekeurige toestellen zonder bijzonder belang, met als doel een keten van knooppunten te creëren tussen de belangrijkste infecties en echte commando- en controlefuncties. Met andere woorden, het infecteren van een thuisrouter betekent niet dat de eigenaar een specifiek doelwit was, maar eerder dat hij slechts een middel is om een doel te bereiken.
Het is onbekend hoe de aanvallers erin slaagden de routers te infecteren met hun kwaadaardige besturingssysteem. Het is waarschijnlijk dat zij toegang kregen tot deze toestellen door ze te scannen op bekende kwetsbaarheden of zich te richten op toestellen die standaard of zwakke wachtwoorden gebruiken voor authenticatie. Deze bevindingen schetsen niet alleen een duidelijker beeld van de Camaro Dragon-groep en hun toolset, maar zijn ook van belang voor de bredere cyberbeveiligingsgemeenschap, en bieden cruciale kennis voor het begrijpen van en verdedigen tegen soortgelijke bedreigingen in de toekomst.
“De ontdekking van deze kwaadaardige firmware geeft aan dat een groot aantal toestellen en vendoren gevaar kunnen lopen en benadrukt het belang van beschermende maatregelen tegen soortgelijke aanvallen” licht Zahier Madhar, security engineer expert bij Check Point Software toe. “Ook een router die prima lijkt te werken, dient regelmatig gecontroleerd te worden. Bij elk product dat met het internet verbonden is, is het van belang om de firmware en software regelmatig bij te werken om kwetsbaarheden te voorkomen. Verder is het verstandig om de standaard inloggegevens van elk toestel dat met het internet is verbonden te veranderen in sterke wachtwoorden en waar mogelijk multi-factor authenticatie te gebruiken. Aanvallers scannen het internet vaak op zoek naar apparaten die nog standaard of zwakke referenties gebruiken.”