Camaro Dragon é um novo malware que pode transformar roteadores domésticos em proxies, para ser usado por hackers patrocinados pela China.

COMO O CAMARO DRAGON FUNCIONA?

Com o mesmo mecanismo de ação do VPNFilter, esse novo firmware pode obscurecer os endpoints utilizados pelos hackers.

Pesquisadores da Check Point Research revelaram uma descoberta sobre um firmware malicioso, que a princípio pode transformar uma grande quantidade de roteadores residenciais e de pequenos escritórios em uma rede que retransmite furtivamente o tráfego para servidores de comando e controle, mantidos por hackers que são patrocinados pelo Estado chinês.

Esse firmware contém um backdoor completo, que permite aos invasores estabelecerem comunicações e transferências de arquivos com os dispositivos infectados, emitir comandos remotamente e assim carregar, baixar e excluir arquivos.

A inserção do firmware vem na forma de imagens para roteadores da TP-Link usando um código bem escrito C++. Ficou evidente que houve esforço para ser implantada na sua funcionalidade uma forma do firmware ser independente, e seria muito fácil modificá-lo para ser executado em outros modelos de roteador.

POR QUE OS CIBERCRIMINOSOS ESTÃO UTILIZANDO ESSA TÉCNICA?

O principal objetivo desse malware introduzido no código, é fazer uma retransmissão do tráfego do alvo infectado com os servidores de comando, e que os invasores tenham controle ofuscando as origens e destinos da comunicação real.

A Check Point Research realizou uma análise mais profunda e descobriu que a infraestrutura de todo controle era operada por hackers ligados ao Mustang Panda, um agente avançado de ameaças persistentes, que empresas de segurança como a Avast e ESET dizem trabalhar para o governo chinês.

Essa forma de invadir roteadores e instalar malwares não é uma abordagem nova. As infecções não têm como foco a pessoa dona do dispositivo, e sim criar uma rede de nós entre os outros dispositivos que estão sendo controlados, e assim a rede ficar oculta.

O que foi descoberto nessa pesquisa, é que os ataques são direcionados contra entidades de relações exteriores da União Europeia. O principal componente desse backdoor é o Horse Shell, que possui três funções principais, um shell remoto para executar comandos no dispositivo infectado, fazer transferência de arquivos para o dispositivo que está infectado e realizar troca de dados entre dois dispositivos usando SOCKS5, fazendo assim um proxy de conexões TCP para um endereço IP qualquer fornecendo assim, um modo de encaminhar pacotes UDP.

Tudo indica que o SOCKS5 é o objetivo final do processo, pois ao criar uma rede de dispositivos infectados que pode estabelecer uma conexão criptografada com dois nós mais próximos, sendo um em cada direção, para dificultar a descoberta de qual a origem ou o destino verdadeiro.

Sabemos que os invasores podem criar vários nós que farão a retransmissão do tráfego para o servidor de comando e o controle final, pois cada nó da rede tem informações apenas dos nós anteriores e dos seguintes. Cada nó é um dispositivo infectado, e só uma pequena quantidade de nó saberá realmente a identidade do comando e controle final.

Sendo assim, ao usar essas camadas de nós para encapsular a comunicação, os agentes de ameaças conseguem ocultar a origem e o destino do tráfego dificultando assim os defensores rastrearem de volta ao comando e controle e responder aos ataques que estão ocorrendo. Além disso, essa rede de nós infectados dificulta a interrupção da comunicação entre o atacante, o comando e controle, pois se algum nó dessa rede for comprometido ou retirado do ar, o invasor ainda poderá manter a comunicação com o comando e controle através do roteamento do tráfego por meio de um outro nó.

Utilizar roteadores e outros dispositivos que conhecemos como Internet das Coisas (IoT) para mascarar servidores de controle e tráfego de proxy, é um dos truques mais antigos no comércio de agentes de ameaças.

JÁ EXISTEM CASOS UTILIZANDO ESSES MÉTODOS?

Um exemplo bem conhecido é o método que foi descoberto em 2018, que estava sendo utilizado VPNFilter. Foi criado pelo APT28 e apoiado pelo Kremlin. Também é conhecido como Fancy Bear, e foi encontrado infectando em torno de mais de 500.000 dispositivos de rede feitos pela Linksys, Mikrotik, Netgear, TP-Link e QNAP. O VPNFilter fornece uma grande variedade de funções, e uma foi habilitada por um módulo “socks5proxy”, que transforma o dispositivo comprometido em um servidor proxy de rede privada virtual SOCKS5.

Outro exemplo semelhante é o malware chamado ZuoRAT, descoberto em 2022 e que infectou uma grande quantidade de roteadores que são produzidos pela CISCO, Netgear, Asus e DrayTek.

No início deste ano, foi descoberto o Hiatus, uma sofisticada campanha de hackers que transformou roteadores de alta largura de banda da fabricante DrayTek em proxies SOCKS.

Até o momento os pesquisadores da Check Point Research não sabem como é realizada a inserção do firmware malicioso nos dispositivos. As hipóteses prováveis são de que as infecções são o resultado dos invasores explorarem vulnerabilidades já corrigidas ou assumirem o controle de dispositivos com credenciais administrativas fracas ou padrão.

COMO SE PROTEGER DESSA AMEAÇA?

Usuários técnicos dos TP-Link, podem verificar o hash criptográfico de firmware atual e verificar se correspondem a algum dos fornecidos na gravação do Check Point Research.

A Check Point Research não forneceu maneiras simples para a detecção das infecções, até o momento a única imagem de firmware descoberta é executada apenas em dispositivos TP-Link, o que não impede que os agentes de ameaças criem imagens que são executadas em um número maior de hardware de outras empresas. Os recursos usados são de plataformas cruzadas que resulta da integração de vários arquitetos de software livre em seu código, com bibliotecas que incluem Telnet para o shell remoto, libev para manipular eventos, libbase32 para codificar e decodificar dados binários base32 e uma lista de contêineres baseados na lista inteligente TOR.

A descoberta da inserção do firmware malicioso nos roteadores TP-Link destaca a necessidade de pessoas e organizações tomarem medidas para se protegerem de ataques semelhantes.

Aqui estão algumas recomendações de proteção e detecção feita pela Check Point Research:

• Proteções de rede: o Horse Shell se comunica com seus pares usando HTTP com cabeçalhos embutidos em código. Embora os cabeçalhos foram provavelmente copiados de fóruns on-line, eles são bastante exclusivos e podem ser usados para a detecção de comunicação de dispositivos potencialmente infectados;
• Atualizações de software: manter a versão de firmware dos dispositivos de rede atualizada, certificar de atualizar regularmente o firmware e o software dos roteadores e de outros dispositivos para evitar vulnerabilidades exploradas por invasores;
• Credenciais padrão, altere as credenciais de login padrão de qualquer dispositivo conectado à internet para senhas mais fortes e use autenticação multifator sempre que possível.

MANTENHA SUA EMPRESA SEGURA!

A Segurança da Informação e Privacidade é como uma eterna disputa entre criminosos e especialistas, mas que está em constante evolução, onde pessoas, tecnologias e boas práticas precisam andar de mãos dadas, para que a proteção dos dados e dos negócios esteja em foco total, afinal, reforçar a segurança cibernética é muito mais que uma tendência, é questão de necessidade e prioridade.

Aqui na IBLISS, contamos com o Programa de Serviços Gerenciados em Segurança que propõe uma nova abordagem de serviço continuado que possibilita, de forma proativa e preventiva, a visão evolutiva dos riscos e ameaças que possam impactar a continuidade da operação em sua organização.

Fale com nosso time de especialistas e entenda como a IBLISS pode fazer a diferença em sua empresa.

Tão importante quanto saber quais ameaças podem impactar o seu negócio, é estar à frente delas!

#porumasociedademaissegura

(Fonte: The Dragon Who Sold His Camaro: Analyzing Custom Router Implant – Check Point Research)