Dans un récent rapport, Check Point Research partage une analyse complète des attaques de Camaro Dragon, laquelle a permis de découvrir un implant de micrologiciel malveillant conçu pour les routeurs TP-Link les plus répandus et contenant divers composants nuisibles, dont une porte dérobée personnalisée baptisée « Horse Shell ». Cette porte dérobée personnalisée permettrait aux attaquants de prendre le contrôle total de l’appareil infecté, sans être détectés, et d’accéder aux réseaux compromis en préservant leur anonymat.

L’analyse approfondie de CPR a mis au jour ces tactiques malveillantes et propose une analyse plus détaillée.

Faits marquants :
–  Check Point Research a découvert et analysé une image de micrologiciel personnalisée de TP-Link affiliée à un acteur chinois parrainé par l’État, appelé « Camaro Dragon ».
–  La structure du micrologiciel comprenait divers éléments malveillants, parmi lesquels se trouvait un implant personnalisé MIPS32 ELF nommé « Horse Shell ». De plus, une porte dérobée passive permettant aux attaquants d’accéder aux appareils infectés a été découverte.
–  « Horse Shell », l’implant principal intégré dans le micrologiciel altéré par les attaquants, présente trois fonctionnalités principales :
o Remote shell
o Transfert de fichier
o Tunnel SOCKS
–  La méthode de déploiement des images du micrologiciel ainsi que leur utilisation et leur impact dans les intrusions réelles restent encore inconnus à ce stade.
Pas seulement TP-Link
Le fait que les composants implantés ne soient pas spécifiques à un micrologiciel particulier indique qu’un large éventail d’appareils et de fournisseurs pourraient potentiellement être vulnérables à cette menace. Check Point Research a souligné l’importance de mettre à jour et de sécuriser les dispositifs de réseau contre les menaces potentielles.
Protection
Grâce à l’enquête en cours, Check Point Research souhaite proposer une meilleure analyse des techniques et tactiques utilisées par le groupe APT Camaro Dragon et contribuer à l’amélioration de la posture de sécurité aussi bien des entreprises que des particuliers.

Pour se prémunir contre des attaques similaires, Check Point Research recommande de protéger le réseau en surveillant par exemple le trafic à l’aide d’en-têtes uniques et codés en dur, en mettant régulièrement à jour les microprogrammes et les logiciels des appareils et en modifiant les identifiants de connexion par défaut sur les appareils connectés à internet.

Itay Cohen, responsable de la recherche chez Check Point Research :
« L’implant de routeur « Horse Shell » est un micrologiciel malveillant complexe qui prouve à quel point les capacités des attaquants soutenus par l’État chinois sont avancées. L’analyse de cet implant fournit des informations précieuses sur les tactiques et les techniques employées par ces attaquants. Ces informations permettent de mieux comprendre les menaces similaires et de mieux s’en défendre à l’avenir.

Étant donné que les composants implantés ne sont pas compatibles avec les microprogrammes, un large éventail d’appareils et de fournisseurs pourrait être menacé. Les entreprises et les particuliers doivent impérativement rester vigilants et mettre à jour régulièrement leurs périphériques réseau et adopter des mesures de sécurité rigoureuses pour lutter contre ces menaces complexes. »