البرامج الضارة لقذيفة الحصان
تم العثور على مجموعة قرصنة تعرف باسم "كامارو دراجون" ، يعتقد أنها تحت رعاية الصين ، وهي تصيب أجهزة توجيه TP-Link السكنية ببرنامج ضار مخصص يسمى Horse Shell. تستهدف حملة الهجوم هذه منظمات الشؤون الخارجية الأوروبية على وجه التحديد.
ينشر المتسللون هذه البرامج الضارة من خلال برامج ثابتة مخصصة ومهددة مصممة لأجهزة توجيه TP-Link. من خلال القيام بذلك ، يمكنهم تنفيذ هجمات يبدو أنها صادرة عن شبكات سكنية.
يستهدف هذا النوع من الهجوم الشبكات السكنية والمنزلية العادية. لذلك ، لا تشير إصابة جهاز التوجيه المنزلي بالضرورة إلى أن أصحاب المنازل أنفسهم كانوا هدفًا محددًا ؛ بدلاً من ذلك ، تعمل أجهزتهم على تسهيل الطريق للمهاجمين لتحقيق أهدافهم.
بمجرد نشر البرنامج الضار ، يحصل المهاجمون على وصول كامل إلى الجهاز المصاب. يتضمن ذلك القدرة على تنفيذ أوامر shell ، وتحميل الملفات وتنزيلها ، واستخدام الموجه كوكيل SOCKS لتسهيل الاتصال بين الأجهزة.
اكتشف البحث زرع البرنامج الثابت Horse Shell TP-Link في يناير 2023. وقد لاحظوا أن أنشطة المتسللين تتداخل مع مجموعة قرصنة صينية أخرى تُعرف باسم Mustang Panda ، لكنهم يتتبعون الجهات الفاعلة المهددة تحت اسم Camaro Dragon المنفصل.
يتم نشر هيكل الحصان عبر البرامج الثابتة غير الآمنة TP-Link
وفقًا للنتائج التي توصل إليها باحثو الأمن السيبراني ، فإن المهاجمين يصيبون أجهزة توجيه TP-Link من خلال تقديم صورة تهديد للبرامج الثابتة. قد يكون هذا قد تحقق من خلال استغلال الثغرات الأمنية في برنامج جهاز التوجيه أو من خلال محاولة تخمين بيانات اعتماد المسؤول من خلال أساليب القوة الغاشمة.
بمجرد أن يكتسب ممثل التهديد وصولاً إداريًا إلى واجهة إدارة جهاز التوجيه ، يكون لديه القدرة على تحديث الجهاز عن بُعد باستخدام صورة البرنامج الثابت المخصصة التي تحتوي على برنامج Horse Shell الضار.
تم اكتشاف عينتين من صور البرامج الثابتة في طروادة المصممة خصيصًا لأجهزة توجيه TP-Link حتى الآن. تحتوي إصدارات البرامج الثابتة الضارة هذه على تعديلات وإضافات واسعة النطاق للملفات الأصلية.
عند مقارنة البرامج الثابتة TP-Link التي تم العبث بها بإصدار شرعي ، وجد الخبراء أن أقسام kernel و uBoot متطابقة. ومع ذلك ، تضمنت البرامج الثابتة غير الآمنة نظام ملفات SquashFS مخصصًا يحتوي على مكونات ملفات تالفة إضافية مرتبطة بزرع باب خلفي في Horse Shell. علاوة على ذلك ، تعمل البرامج الثابتة غير الآمنة أيضًا على تغيير لوحة الويب الخاصة بالإدارة ، مما يمنع مالك الجهاز بشكل فعال من وميض صورة برنامج ثابت جديد على جهاز التوجيه وكذلك ضمان استمرار الإصابة.
القدرات الضارة لزرع قوقعة الحصان
بمجرد تنشيط غرسة الباب الخلفي ، فإنها تستخدم العديد من التقنيات لضمان استمرارها وتشغيلها السري. أولاً ، يوجه نظام التشغيل إلى عدم إنهاء عمليته عند إصدار أوامر معينة ، مثل SIGPIPE أو SIGIN أو SIGABRT. بالإضافة إلى ذلك ، فإنه يحول نفسه إلى برنامج خفي ، مما يسمح له بالعمل بصمت في الخلفية.
بعد ذلك ، يُنشئ الباب الخلفي اتصالاً بخادم الأوامر والتحكم (C2) للعملية. يرسل ملف تعريف جهاز الضحية ، والذي يتضمن معلومات مثل اسم المستخدم وإصدار نظام التشغيل وتفاصيل الجهاز وعنوان IP وعنوان MAC والميزات المدعومة للغرسة.
بعد الانتهاء من مرحلة الإعداد ، ينتظر Horse Shell بصبر التعليمات من خادم C2. يستمع لثلاثة أوامر محددة:
- بدء قذيفة عن بعد: يمنح هذا الأمر الجهات المهددة وصولاً كاملاً إلى الجهاز المخترق ، وتمكينهم من تنفيذ الأوامر وتنفيذ الأنشطة غير الآمنة.
- تنفيذ أنشطة نقل الملفات: يسهل الباب الخلفي تحميل الملفات وتنزيلها ، والتلاعب الأساسي بالملفات ، وتعداد الدليل ، مما يسمح لممثلي التهديد بمعالجة البيانات الموجودة على الجهاز المخترق.
- بدء النفق: يمكن لـ Horse Shell بدء إنشاء نفق للتعتيم على وجهة وأصل حركة مرور الشبكة. من خلال إخفاء عنوان خادم C2 ، تساعد هذه التقنية في الحفاظ على سرية عمليات المهاجمين.
يلاحظ الباحثون أن غرسة البرامج الثابتة Horse Shell لا تقتصر على نوع مميز من البرامج الثابتة ولكنها لا تقتصر على البرامج الثابتة. لذلك ، من الناحية النظرية ، يمكن استخدامه في صور البرامج الثابتة لأجهزة التوجيه من بائعين مختلفين.
ليس من المستغرب استهداف أجهزة التوجيه ذات التأمين الضعيف من قبل المتسللين الذين ترعاهم الدولة. غالبًا ما يتم استهداف أجهزة التوجيه بواسطة شبكات الروبوت للقيام بأنشطة مثل هجمات رفض الخدمة الموزعة (DDoS) أو عمليات التنقيب عن العملات المشفرة. تستفيد هذه الهجمات من الإجراءات الأمنية لأجهزة التوجيه التي غالبًا ما يتم تجاهلها ، مما يسمح للأجهزة المخترقة بالعمل كمنصات إطلاق غير واضحة للأنشطة الضارة مع إخفاء أصل المهاجم.
