Routery popularnej firmy TP-Link były wyposażone w złośliwe oprogramowanie, co pozwoliło na atakowanie osób i grup związanych z europejskimi sprawami zagranicznymi. Za cyberatak odpowiedzialna jest chińska grupa Camaro Dragon.
W jaki sposób wykryto atak?
Ataki hakerskie od zawsze były powszechne i spędzają sen z powiek wielu użytkownikom. Jednak z większym problemem borykają się duże firmy, które mogą być atakowane przez złośliwe oprogramowanie, a ich urządzenia bywają wykorzystywane do infekowania komputerów użytkowników. Camaro Dragon, czyli chińska grupa hakerska, przeprowadziła cyberatak na sprzęty popularnego w Polsce producenta routerów. TP-Link wydało oświadczenie w tej sprawie.
Badacze, wywodzący się z Check Point Research, odkryli zagrożenie typu Advanced Persistent Threat (APT). Cyberatak jest formą ukrycia infekcji złośliwym oprogramowaniem, które przekazywane jest przy użyciu routerów firmy TP-Link, a struktura „znacząco pokrywa się z infrastukturą” Mustang Panda, czyli grupą znaną z niestandardowych wariantów Korplug.
Przeprowadzona przez Check Point Research analiza pozwoliła odkryć, że złośliwy fragment firmware’u o nazwie „Horse Shell”, został ukryty w oprogramowaniu urządzeń firmy TP-Link. Dzięki temu atakowano osoby i organizacje, które były bezpośrednio związane z europejskimi sprawami zagranicznymi.
W jaki sposób ochronić się przed atakiem?
W większości użytkownicy nie wykorzystują możliwości zdalnego dostępu do swojego urządzenia, w tym do panelu administracyjnego, dlatego też funkcja ta domyślnie nie jest włączona. Jeśli jednak taka potrzeba się pojawia, zalecane jest skonfigurowanie VPNu i zarządzanie nim z poziomu adresu lokalnego.
Jeśli jednak dany sprzęt nie jest w stanie działać w oparciu o VPN, konieczne jest wdrożenie nowego hasła, które będzie miało co najmniej kilkanaście znaków. Powinny znajdować się w nim zarówno małe, jak i duże litery, a także cyfry oraz znaki specjalne. Warto również ograniczyć możliwość uruchomienia zdalnego dostępu routera poprzez wdrożenie jednego, właściwego adresu IP. Firma TP-Link zaleca także zainstalowanie najnowszej aktualizacji urządzenia.
