Horse Shelli pahavara

On leitud, et Camaro Dragoni nime all tuntud häkkimisrühmitus, mida arvatakse olevat Hiina riiklikult toetatud, nakatab TP-Linki ruutereid kohandatud pahavaraga Horse Shell. See rünnakukampaania on suunatud konkreetselt Euroopa välissuhete organisatsioonidele.

Häkkerid juurutavad selle tagaukse pahavara TP-Linki ruuterite jaoks kohandatud ja ähvardava püsivara kaudu. Seda tehes saavad nad sooritada rünnakuid, mis näivad pärinevat elamuvõrkudest.

Seda tüüpi rünnak on suunatud tavalistele elamu- ja koduvõrkudele. Seetõttu ei viita koduruuteri nakatumine tingimata sellele, et majaomanikud ise olid konkreetne sihtmärk; pigem hõlbustavad nende seadmed ründajatel oma eesmärke saavutada.

Kui pahavara on juurutatud, saavad ohus osalejad nakatunud seadmele täieliku juurdepääsu. See hõlmab võimalust täita shellikäske, üles- ja alla laadida faile ning kasutada ruuterit SOCKS-i puhverserverina, et hõlbustada seadmete vahelist suhtlust.

Uurimistöö avastas Horse Shelli TP-Linki püsivara implantaadi 2023. aasta jaanuaris. Nad on täheldanud, et häkkerite tegevus kattub teise Hiina häkkimisrühmaga, mida tuntakse Mustang Panda nime all, kuid nad jälgivad ohus osalejaid eraldi Camaro Dragon nime all.

Horse Shelli juurutatakse ebaturvalise TP-Linki püsivara kaudu

Küberjulgeoleku teadlaste leidude kohaselt nakatavad ründajad TP-Linki ruutereid, lisades neile ähvardava püsivara kujutise. See võis olla saavutatud ruuteri tarkvara haavatavusi ära kasutades või administraatori mandaate ära arvata jõhkra jõu abil.

Kui ohus osaleja saab administraatorijuurdepääsu ruuteri haldusliidesele, on tal võimalus seadet eemalt värskendada kohandatud püsivara kujutisega, mis sisaldab Horse Shelli pahavara.

Praeguseks on avastatud kaks spetsiaalselt TP-Linki ruuterite jaoks loodud troojastatud püsivara kujutise näidist. Need kahjulikud püsivara versioonid sisaldavad originaalfailides ulatuslikke muudatusi ja täiendusi.

Võrreldes rikutud TP-Linki püsivara legitiimse versiooniga, leidsid eksperdid, et kerneli ja uBooti sektsioonid olid identsed. Kuid ebaturvaline püsivara sisaldas kohandatud SquashFS-failisüsteemi, mis sisaldas Horse Shelli tagaukse implantaadiga seotud täiendavaid rikutud failikomponente. Lisaks muudab ebaturvaline püsivara ka haldamise veebipaneeli, takistades tõhusalt seadme omanikul ruuterile uut püsivara kujutist vilkumast ning tagades nakkuse püsimise.

Hobusekesta implantaadi kahjulikud omadused

Kui Horse Shelli tagaukse implantaat on aktiveeritud, kasutab see mitut tehnikat, et tagada selle püsivus ja varjatud toimimine. Esiteks annab see operatsioonisüsteemile korralduse teatud käskude (nt SIGPIPE, SIGIN või SIGABRT) väljastamisel protsessi mitte lõpetada. Lisaks muudab see end deemoniks, võimaldades sellel taustal vaikselt töötada.

Järgmisena loob tagauks ühenduse toimingu Command-and-Control (C2) serveriga. See saadab ohvri masinaprofiili, mis sisaldab sellist teavet nagu kasutajanimi, operatsioonisüsteemi versioon, seadme andmed, IP-aadress, MAC-aadress ja implantaadi toetatud funktsioonid.

Pärast häälestusfaasi lõppu ootab Horse Shell kannatlikult C2 serveri juhiseid. See kuulab kolme konkreetset käsku:

• Kaugkesta käivitamine: see käsk annab ohus osalejatele täieliku juurdepääsu ohustatud seadmele, võimaldades neil käske täita ja ebaturvalisi toiminguid teha.
• Tehke failiedastustoiminguid: tagauks hõlbustab failide üles- ja allalaadimist, põhilist failidega manipuleerimist ja kataloogide loendamist, võimaldades ohus osalejatel rikutud seadmes olevate andmetega manipuleerida.
• Alusta tunneldamist: Horse Shell saab algatada tunneldamise, et hägustada võrguliikluse sihtkohta ja päritolu. Varjates C2 serveri aadressi, aitab see tehnika säilitada ründajate tegevuse varguse.

Teadlased märgivad, et Horse Shelli püsivara implantaat ei piirdu kindlat tüüpi püsivaraga, vaid on püsivara agnostiline. Seetõttu võiks teoreetiliselt seda potentsiaalselt kasutada erinevate tarnijate ruuterite püsivara piltides.

Halvasti turvatud ruuterite sihtimine riiklikult toetatud häkkerite poolt pole üllatav. Routerid on sageli botnettide sihtmärgiks selliste tegevuste jaoks nagu hajutatud teenusekeelu (DDoS) rünnakud või krüptokaevandamise toimingud. Need rünnakud kasutavad ära ruuterite sageli tähelepanuta jäetud turvameetmeid, võimaldades ohustatud seadmetel toimida silmapaistmatute käivitusplatvormidena kahjulike tegevuste jaoks, varjates samal ajal ründaja päritolu.