Gli esperti di sicurezza informatica di Check Point Research hanno seguito per diverse settimane le attività di un gruppo oscuro di hacker, che ha preso di mira in particolare le entità statali europee.
Si ritiene che il gruppo Camaro Dragon sia un’altra incarnazione di Mustang Panda, hacker cinesi che stanno approfittando della guerra in Ucraina per recuperare dati sensibili sulle infrastrutture russe. Dai mezzi impiegati per compiere la loro missione al tipo di obiettivi preferiti, tutto lascia pensare che questi hacker siano finanziati da Pechino.
Secondo l’analisi di CPR, Camaro Dragon implementa un firmware personalizzato in alcuni router TP-Link. Questo software installa diversi componenti dannosi sulle apparecchiature di comunicazione, tra cui una backdoor chiamata “Horse Shell” che consente ai criminali informatici di mantenere un accesso costante al dispositivo, costruire un’infrastruttura anonima e quindi spostarsi lateralmente nelle reti compromesse. Una volta compromessa la rete, gli hacker prendono il controllo di un dispositivo o di un account utente e tentano quindi di esplorare e prendere il controllo di altri sistemi.
Il governo cinese viene ritenuto responsabile del finanziamento del gruppo di hacker noto come Camaro Dragon
L’impianto inserito nel firmware modificato consente agli hacker di eseguire comandi di shell sul router infetto, trasferire file in entrambe le direzioni e inoltrare comunicazioni attraverso un tunnel SSH crittografato a un altro client. Sembra che gli hacker non abbiano infettato direttamente i router dei loro obiettivi. I primi impianti sono apparsi sulle apparecchiature di utenti comuni, “l’obiettivo degli hacker era quello di creare una catena di nodi tra i dispositivi infetti e il loro centro di comando”.
Un buon modo per muoversi lateralmente e arrivare, con pazienza, al vero obiettivo. Se siete amministratori di rete, consultate l’articolo di CPR sulla protezione dei vostri sistemi da Camaro Dragon. Per gli utenti meno esperti, la raccomandazione principale è: assicuratevi che il firmware delle vostre apparecchiature sia aggiornato.
