A empresa de segurança Check Point Research descobriu malware para uma ampla gama de roteadores TP-Link domésticos e corporativos. Com sua ajuda, os hackers, supostamente apoiados pelas autoridades chinesas, combinam os dispositivos infectados em uma rede, cujo tráfego é transmitido secretamente para os servidores controlados pelos invasores.
Fonte da imagem: Pixabay
De acordo com a Check Point, o firmware malicioso contém um backdoor totalmente funcional que permite que hackers se comuniquem com dispositivos infectados, transfiram arquivos, executem comandos remotamente e carreguem, baixem e excluam dados em dispositivos controlados. O software malicioso é distribuído sob o disfarce de firmware para roteadores TP-Link. Supõe-se que o principal objetivo do software seja retransmitir secretamente o tráfego entre dispositivos infectados e servidores controlados por hackers.
Uma análise do malware mostrou que seus operadores estão associados ao grupo Mustang Panda, que, segundo a Avast e a ESET, é apoiado pelas autoridades chinesas. O firmware malicioso foi descoberto durante a investigação de uma série de ataques de hackers às estruturas da política externa europeia. O principal componente do software é um backdoor chamado Horse Shell. Ele permite a execução remota de comandos em dispositivos infectados, transferência de arquivos para download em dispositivos vítimas e upload de dados, além de troca de dados entre dois dispositivos usando o protocolo SOCKS5.
«Um backdoor pode ser usado para retransmitir dados entre dois nós. Assim, os invasores podem criar uma cadeia de nós que enviarão tráfego para um servidor controlado. Essa abordagem permite que os cibercriminosos escondam o destino final, já que cada nó da cadeia possui apenas dados sobre os nós anteriores e posteriores, cada um dos quais é um dispositivo infectado. Apenas alguns nós conterão dados sobre o nó final ”, disse Check Point em uma mensagem.