Horse Shell Malware

En hackergruppe kendt som "Camaro Dragon", der menes at være statssponsoreret af Kina, er blevet fundet inficere TP-Link-routere i boliger med en tilpasset malware kaldet Horse Shell. Denne angrebskampagne er specifikt rettet mod europæiske udenrigsorganisationer.

Hackerne implementerer denne bagdør-malware gennem tilpasset og truende firmware, der er skræddersyet til TP-Link-routere. Ved at gøre det kan de udføre angreb, der ser ud til at stamme fra bolignetværk.

Denne type angreb er rettet mod almindelige bolig- og hjemmenetværk. Derfor indikerer infektionen af en hjemmerouter ikke nødvendigvis, at husejerne selv var et specifikt mål; snarere tjener deres enheder til at lette vejen for angriberne til at nå deres mål.

Når malwaren er implementeret, får trusselsaktørerne fuldstændig adgang til den inficerede enhed. Dette inkluderer evnen til at udføre shell-kommandoer, uploade og downloade filer og bruge routeren som en SOCKS-proxy for at lette kommunikationen mellem enheder.

Forskningen opdagede Horse Shell TP-Link-firmwareimplantatet i januar 2023. De har observeret, at hackernes aktiviteter overlapper med en anden kinesisk hackergruppe kendt som Mustang Panda, men de sporer trusselsaktørerne under det separate Camaro Dragon-navn.

Horse Shell er implementeret via Unsafe TP-Link Firmware

Ifølge resultaterne af cybersikkerhedsforskerne inficerer angriberne TP-Link-routere ved at introducere et truende firmwarebillede. Dette kan være opnået ved at udnytte sårbarheder i routerens software eller ved at forsøge at gætte administratorens legitimationsoplysninger gennem brute-force-metoder.

Når trusselsaktøren får administrativ adgang til routerens administrationsgrænseflade, har de mulighed for at fjernopdatere enheden med det tilpassede firmwarebillede, der indeholder Horse Shell-malwaren.

To eksempler på trojaniserede firmwarebilleder, der er specielt designet til TP-Link-routere, er blevet opdaget indtil videre. Disse skadelige firmwareversioner indeholder omfattende ændringer og tilføjelser til de originale filer.

Ved at sammenligne den manipulerede TP-Link-firmware med en legitim version fandt eksperterne ud af, at kernen og uBoot-sektionerne var identiske. Den usikre firmware inkorporerede imidlertid et brugerdefineret SquashFS-filsystem, der indeholdt yderligere korrupte filkomponenter forbundet med Horse Shell-bagdørsimplantatet. Ydermere ændrer den usikre firmware også administrationswebpanelet, hvilket effektivt forhindrer enhedsejeren i at blinke et nyt firmwarebillede på routeren samt sikrer, at infektionen fortsætter.

Hesteskalsimplantatets skadelige egenskaber

Når Horse Shell-bagdørsimplantatet er aktiveret, anvender det flere teknikker for at sikre dets vedholdenhed og skjulte drift. For det første instruerer den operativsystemet om ikke at afslutte sin proces, når visse kommandoer, såsom SIGPIPE, SIGIN eller SIGABRT, udstedes. Derudover konverterer den sig selv til en dæmon, så den kan køre lydløst i baggrunden.

Derefter etablerer bagdøren en forbindelse med kommando-og-kontrol-serveren (C2) for operationen. Den sender offerets maskinprofil, som omfatter oplysninger såsom brugernavn, operativsystemversion, enhedsdetaljer, IP-adresse, MAC-adresse og understøttede funktioner i implantatet.

Efter at have afsluttet opsætningsfasen, venter Horse Shell tålmodigt på instruktioner fra C2-serveren. Den lytter efter tre specifikke kommandoer:

• Start en ekstern shell: Denne kommando giver trusselsaktørerne fuldstændig adgang til den kompromitterede enhed, hvilket gør dem i stand til at udføre kommandoer og udføre usikre aktiviteter.
• Udfør filoverførselsaktiviteter: Bagdøren letter upload og download af filer, grundlæggende filmanipulation og mappeopregning, hvilket gør det muligt for trusselsaktører at manipulere data på den kompromitterede enhed.
• Start tunneling: Horse Shell kan starte tunneling for at sløre destinationen og oprindelsen af netværkstrafikken. Ved at skjule C2-serveradressen hjælper denne teknik med at opretholde snigheden af angribernes operationer.

Forskere bemærker, at Horse Shell-firmwareimplantatet ikke er begrænset til en bestemt type firmware, men er firmware-agnostisk. Derfor kan det i teorien potentielt bruges i firmwarebilleder til routere fra forskellige leverandører.

Målretningen mod dårligt sikrede routere af statssponsorerede hackere er ikke overraskende. Routere er ofte målrettet af botnets til aktiviteter som distribuerede Denial-of-Service (DDoS)-angreb eller krypto-mining-operationer. Disse angreb drager fordel af routeres ofte oversete sikkerhedsforanstaltninger, hvilket gør det muligt for de kompromitterede enheder at tjene som upåfaldende affyringsramper for skadelige aktiviteter, mens de skjuler angriberens oprindelse.