I ricercatori di Check Point hanno scoperto un firmware dannoso che infetta i router TP-Link, realizzato da un gruppo di attacco legato allo Stato cinese. L’attacco, denominato "Horse Shell", fornisce agli aggressori un accesso persistente al router, consentendo loro di controllarlo da remoto e di estrarre i dati.
I ricercatori ritengono che gli aggressori siano riusciti a infettare i router sfruttando vulnerabilità note. Una volta infettato, il router scaricava il firmware dannoso dal server di comando e controllo degli aggressori. Il firmware verrebbe quindi installato sul router, sostituendo quello legittimo.
Quello di Horse Shell è un impianto modulare, il che significa che può essere personalizzato per soddisfare le esigenze specifiche degli aggressori. L'impianto include una serie di funzioni che consentono agli aggressori di controllare il router in remoto, tra cui:
- eseguire comandi arbitrari sul router
- Trasferire file
- Usare il router come proxy per inoltrare il traffico
L’ultimo dato è forse quello più interessante: i router colpiti non vengono infettati perché sono un bersaglio diretto, ma piuttosto per diventare nodi di una rete di attacco più grande. Horse Shell, ritengono i ricercatori, potrebbe essere utilizzato per rubare dati, condurre sorveglianza o lanciare attacchi denial-of-service.
Infine, vale la pena sottolineare che per il modo in cui è scritto, lo stesso codice si potrebbe modificare facilmente anche per colpire route di altre marche. Fortunatamente, ci sono alcune possibili contromisure per aumentare la sicurezza, come per esempio:
- Mantenere il firmware del router aggiornato
- Utilizzare una password complessa per il router
- Disattivare le funzioni di gestione remota se non sono necessarie
- [per uffici, SOHO e PMI] Installare un firewall sul router
- [per uffici, SOHO e PMI] Utilizzare una soluzione di sicurezza in grado di rilevare e bloccare il traffico dannoso.
La scoperta dell'impianto Horse Shell è un promemoria della minaccia sempre presente dei cyberattacchi. È importante che tutti siano consapevoli dei rischi e che prendano provvedimenti per proteggere i propri dispositivi e le proprie reti. Seguendo le raccomandazioni di cui sopra, potete contribuire a mantenere i vostri dispositivi al sicuro dagli attacchi.