Malware z koňské skořápky

Bylo zjištěno, že hackerská skupina známá jako „Camaro Dragon“, o níž se předpokládá, že je státem sponzorovaná Čínou, infikuje rezidenční routery TP-Link vlastním malwarem jménem Horse Shell. Tato útočná kampaň je specificky zaměřena na evropské zahraniční organizace.

Hackeři nasazují tento backdoor malware prostřednictvím přizpůsobeného a ohrožujícího firmwaru přizpůsobeného pro routery TP-Link. Tímto způsobem mohou provádět útoky, které vypadají, že pocházejí z obytných sítí.

Tento typ útoku se zaměřuje na běžné obytné a domácí sítě. Infekce domácího routeru tedy nemusí nutně znamenat, že konkrétním cílem byli samotní majitelé domů; jejich zařízení spíše slouží k tomu, aby útočníkům usnadnili cestu k dosažení jejich cílů.

Jakmile je malware nasazen, aktéři hrozby získají úplný přístup k infikovanému zařízení. To zahrnuje schopnost spouštět příkazy shellu, nahrávat a stahovat soubory a využívat router jako SOCKS proxy pro usnadnění komunikace mezi zařízeními.

Výzkum objevil implantát firmwaru Horse Shell TP-Link v lednu 2023. Pozorovali, že aktivity hackerů se překrývají s další čínskou hackerskou skupinou známou jako Mustang Panda, ale sledují aktéry hrozeb pod samostatným jménem Camaro Dragon.

Horse Shell je nasazen přes Unsafe TP-Link Firmware

Podle zjištění výzkumníků kybernetické bezpečnosti útočníci infikují routery TP-Link zavedením ohrožujícího obrazu firmwaru. Toho mohlo být dosaženo zneužitím zranitelnosti v softwaru routeru nebo pokusem uhodnout přihlašovací údaje správce pomocí metod hrubé síly.

Jakmile aktér hrozby získá administrativní přístup k rozhraní pro správu routeru, má možnost vzdáleně aktualizovat zařízení pomocí vlastního obrazu firmwaru obsahujícího malware Horse Shell.

Dosud byly objeveny dva vzorky trojanizovaných obrazů firmwaru speciálně navržených pro routery TP-Link. Tyto škodlivé verze firmwaru obsahují rozsáhlé úpravy a doplňky k původním souborům.

Při porovnávání poškozeného firmwaru TP-Link s legitimní verzí odborníci zjistili, že sekce jádra a uBoot jsou totožné. Nebezpečný firmware však obsahoval vlastní souborový systém SquashFS, který obsahoval další poškozené souborové komponenty spojené s implantátem zadních vrátek Horse Shell. Nebezpečný firmware navíc mění také webový panel pro správu, čímž účinně brání vlastníkovi zařízení ve flashování nového firmwaru do routeru a také zajišťuje přetrvávání infekce.

Škodlivé schopnosti implantátu koňské skořápky

Jakmile je zadní vrátkový implantát Horse Shell aktivován, využívá několik technik k zajištění jeho perzistence a skryté operace. Za prvé, instruuje operační systém, aby neukončoval svůj proces, když jsou vydány určité příkazy, jako jsou SIGPIPE, SIGIN nebo SIGABRT. Navíc se převádí na démona, což mu umožňuje tiše běžet na pozadí.

Dále backdoor naváže spojení se serverem Command-and-Control (C2) operace. Odešle profil stroje oběti, který obsahuje informace, jako je uživatelské jméno, verze operačního systému, podrobnosti o zařízení, IP adresa, MAC adresa a podporované funkce implantátu.

Po dokončení fáze nastavení Horse Shell trpělivě čeká na pokyny ze serveru C2. Poslouchá na tři konkrétní příkazy:

• Spustit vzdálený shell: Tento příkaz uděluje aktérům hrozby úplný přístup k napadenému zařízení a umožňuje jim provádět příkazy a provádět nebezpečné činnosti.
• Provádění činností přenosu souborů: Backdoor usnadňuje nahrávání a stahování souborů, základní manipulaci se soubory a výčet adresářů, což umožňuje aktérům hrozeb manipulovat s daty na napadeném zařízení.
• Spustit tunelování: Horse Shell může zahájit tunelování, aby zatemnil cíl a původ síťového provozu. Skrytím adresy serveru C2 tato technika pomáhá zachovat tajnost operací útočníků.

Výzkumníci poznamenávají, že implantát firmwaru Horse Shell není omezen na odlišný typ firmwaru, ale je agnostický s firmwarem. Proto by teoreticky mohl být potenciálně použit v obrazech firmwaru pro routery od různých výrobců.

Cílení na špatně zabezpečené routery státem podporovanými hackery není překvapivé. Směrovače jsou často terčem botnetů pro aktivity, jako jsou distribuované útoky Denial-of-Service (DDoS) nebo operace těžby kryptoměn. Tyto útoky využívají často opomíjená bezpečnostní opatření směrovačů, což umožňuje napadeným zařízením sloužit jako nenápadné startovací plochy pro škodlivé aktivity a zároveň zakrývat původ útočníka.