Horse Shell Malware

Хакерска група, известна като "Camaro Dragon", за която се смята, че е държавно спонсорирана от Китай, е установена, че заразява битови рутери на TP-Link с персонализиран зловреден софтуер, наречен Horse Shell. Тази кампания за нападение е насочена специално към европейските организации за външни работи.

Хакерите внедряват този заден злонамерен софтуер чрез персонализиран и заплашителен фърмуер, пригоден за рутери на TP-Link. Правейки това, те могат да извършват атаки, които изглеждат като че ли произхождат от жилищни мрежи.

Този тип атака е насочена към обикновени жилищни и домашни мрежи. Следователно заразяването на домашен рутер не означава непременно, че самите собственици на жилища са били конкретна цел; по-скоро техните устройства служат за улесняване на пътя на нападателите да постигнат целите си.

След като зловредният софтуер бъде внедрен, участниците в заплахата получават пълен достъп до заразеното устройство. Това включва способността да се изпълняват команди на shell, да се качват и изтеглят файлове и да се използва рутерът като SOCKS прокси за улесняване на комуникацията между устройствата.

Изследването откри фърмуерния имплант Horse Shell TP-Link през януари 2023 г. Те са забелязали, че дейностите на хакерите се припокриват с друга китайска хакерска група, известна като Mustang Panda, но те проследяват участниците в заплахата под отделното име Camaro Dragon.

Horse Shell се внедрява чрез опасен фърмуер на TP-Link

Според констатациите на изследователите по киберсигурност, нападателите заразяват рутерите на TP-Link чрез въвеждане на заплашително изображение на фърмуера. Това може да е постигнато чрез използване на уязвимости в софтуера на рутера или чрез опит за отгатване на идентификационните данни на администратора чрез методи на груба сила.

След като заплахата получи административен достъп до интерфейса за управление на рутера, той има способността да актуализира отдалечено устройството с персонализирано изображение на фърмуера, съдържащо зловреден софтуер Horse Shell.

Досега са открити две проби от изображения на троянски фърмуер, специално проектирани за рутери на TP-Link. Тези вредни версии на фърмуера съдържат обширни модификации и допълнения към оригиналните файлове.

При сравняване на подправения фърмуер на TP-Link с легитимна версия, експертите установиха, че секциите на ядрото и uBoot са идентични. Опасният фърмуер обаче включва персонализирана файлова система SquashFS, която съдържа допълнителни повредени файлови компоненти, свързани с импланта на задната врата на Horse Shell. Освен това, опасният фърмуер също променя уеб панела за управление, като ефективно не позволява на собственика на устройството да пусне ново изображение на фърмуера на рутера, както и да гарантира устойчивостта на инфекцията.

Вредните способности на импланта от конска черупка

След като имплантът на задната вратичка Horse Shell се активира, той използва няколко техники, за да гарантира своята устойчивост и скрита работа. Първо, той инструктира операционната система да не прекъсва своя процес, когато се издават определени команди, като SIGPIPE, SIGIN или SIGABRT. Освен това, той се превръща в демон, което му позволява да работи безшумно във фонов режим.

След това задната врата установява връзка със сървъра за командване и управление (C2) на операцията. Той изпраща машинния профил на жертвата, който включва информация като потребителско име, версия на операционната система, подробности за устройството, IP адрес, MAC адрес и поддържани функции на импланта.

След като завърши фазата на настройка, Horse Shell търпеливо очаква инструкции от C2 сървъра. Той слуша за три конкретни команди:

• Стартиране на отдалечена обвивка: Тази команда предоставя на участниците в заплахата пълен достъп до компрометираното устройство, което им позволява да изпълняват команди и да извършват опасни дейности.
• Извършване на дейности по прехвърляне на файлове: Задната врата улеснява качването и изтеглянето на файлове, основната манипулация на файлове и изброяването на директории, което позволява на участниците в заплахата да манипулират данни на компрометираното устройство.
• Стартиране на тунелиране: Horse Shell може да инициира тунелиране, за да скрие дестинацията и произхода на мрежовия трафик. Чрез скриване на адреса на сървъра C2, тази техника помага да се поддържа скритостта на операциите на нападателите.

Изследователите отбелязват, че фърмуерният имплант на Horse Shell не е ограничен до отделен тип фърмуер, а е агностичен за фърмуера. Следователно, на теория, той потенциално може да се използва в изображения на фърмуер за рутери от различни доставчици.

Насочването към лошо защитени рутери от страна на спонсорирани от държавата хакери не е изненадващо. Рутерите често са насочени от ботнети за дейности като разпределени атаки за отказ от услуга (DDoS) или операции за крипто копаене. Тези атаки се възползват от често пренебрегваните мерки за сигурност на рутерите, позволявайки на компрометираните устройства да служат като незабележими стартови площадки за вредни дейности, като същевременно прикриват произхода на нападателя.