Horse Shell -haittaohjelma

"Camaro Dragonina" tunnetun hakkerointiryhmän, jonka uskotaan olevan Kiinan valtion tukema, on havaittu tartuttaneen kotitalouksien TP-Linkin reitittimiä räätälöidyllä haittaohjelmalla nimeltä Horse Shell. Tämä hyökkäyskampanja on kohdistettu erityisesti eurooppalaisiin ulkoasiainjärjestöihin.

Hakkerit käyttävät tätä takaoven haittaohjelmaa räätälöidyn ja uhkaavan laiteohjelmiston avulla, joka on räätälöity TP-Link-reitittimille. Näin tehdessään he voivat suorittaa hyökkäyksiä, jotka näyttävät olevan peräisin asuinverkoista.

Tämäntyyppinen hyökkäys kohdistuu tavallisiin asuin- ja kotiverkkoihin. Siksi kodin reitittimen tartunta ei välttämättä tarkoita, että kodin omistajat itse olisivat olleet erityinen kohde; pikemminkin niiden laitteet helpottavat hyökkääjien tapaa saavuttaa tavoitteensa.

Kun haittaohjelma on otettu käyttöön, uhkatekijät saavat täydellisen pääsyn tartunnan saaneeseen laitteeseen. Tämä sisältää mahdollisuuden suorittaa komentotulkkikomentoja, ladata ja ladata tiedostoja sekä käyttää reititintä SOCKS-välityspalvelimena laitteiden välisen viestinnän helpottamiseksi.

Tutkimuksessa löydettiin Horse Shell TP-Link -laiteohjelmisto-implantti tammikuussa 2023. He ovat havainneet, että hakkereiden toiminta on päällekkäistä toisen kiinalaisen Mustang Pandan hakkerointiryhmän kanssa, mutta he seuraavat uhkatoimijoita erillisellä Camaro Dragon -nimellä.

Horse Shell otetaan käyttöön Unsafe TP-Link Firmwaren kautta

Kyberturvallisuustutkijoiden havaintojen mukaan hyökkääjät tartuttavat TP-Linkin reitittimet ottamalla käyttöön uhkaavan laiteohjelmiston. Tämä on saatettu saavuttaa hyödyntämällä reitittimen ohjelmiston haavoittuvuuksia tai yrittämällä arvata järjestelmänvalvojan tunnistetiedot raa'alla voimalla.

Kun uhkatekijä saa järjestelmänvalvojan käyttöoikeudet reitittimen hallintaliittymään, he voivat päivittää laitteeseen etäyhteyden mukautetulla laiteohjelmiston näköistiedostolla, joka sisältää Horse Shell -haittaohjelman.

Tähän mennessä on löydetty kaksi näytettä troijalaisista laiteohjelmistokuvista, jotka on suunniteltu erityisesti TP-Link-reitittimille. Nämä haitalliset laiteohjelmistoversiot sisältävät laajoja muutoksia ja lisäyksiä alkuperäisiin tiedostoihin.

Verratessaan peukaloitua TP-Linkin laiteohjelmistoa lailliseen versioon asiantuntijat havaitsivat, että ydin- ja uBoot-osiot olivat identtisiä. Vaarallinen laiteohjelmisto sisälsi kuitenkin mukautetun SquashFS-tiedostojärjestelmän, joka sisälsi muita vioittuneita tiedostokomponentteja, jotka liittyvät Horse Shell -takaoven implanttiin. Lisäksi vaarallinen laiteohjelmisto muuttaa myös hallinnan Web-paneelia, mikä estää tehokkaasti laitteen omistajaa vilkkumasta uutta laiteohjelmistokuvaa reitittimeen ja varmistaa tartunnan jatkumisen.

Hevosen kuori-istutteen haitalliset ominaisuudet

Kun Horse Shell -takaovi-implantti on aktivoitu, se käyttää useita tekniikoita varmistaakseen sen pysyvyyden ja salaisen toiminnan. Ensinnäkin se ohjeistaa käyttöjärjestelmää olemaan lopettamatta prosessiaan, kun tietyt komennot, kuten SIGPIPE, SIGIN tai SIGABRT, annetaan. Lisäksi se muuntaa itsensä demoniksi, jolloin se voi toimia äänettömästi taustalla.

Seuraavaksi takaovi muodostaa yhteyden toiminnan Command-and-Control (C2) -palvelimeen. Se lähettää uhrin koneprofiilin, joka sisältää tietoja, kuten käyttäjänimen, käyttöjärjestelmän version, laitteen tiedot, IP-osoitteen, MAC-osoitteen ja implantin tuetut ominaisuudet.

Asennusvaiheen päätyttyä Horse Shell odottaa kärsivällisesti ohjeita C2-palvelimelta. Se kuuntelee kolmea erityistä komentoa:

• Käynnistä etäkäsky: Tämä komento antaa uhkatoimijoille täydellisen pääsyn vaarantuneeseen laitteeseen, jolloin he voivat suorittaa komentoja ja suorittaa vaarallisia toimintoja.
• Suorita tiedostonsiirtotoimintoja: Takaovi helpottaa tiedostojen lataamista ja lataamista, tiedostojen peruskäsittelyä ja hakemistojen luettelointia, jolloin uhkatekijät voivat käsitellä tietoja vaarantuneessa laitteessa.
• Aloita tunnelointi: Horse Shell voi aloittaa tunneloinnin hämärtääkseen verkkoliikenteen määränpään ja alkuperän. Piilottamalla C2-palvelimen osoitteen tämä tekniikka auttaa säilyttämään hyökkääjien toiminnan salaisuuden.

Tutkijat huomauttavat, että Horse Shell -laiteohjelmisto-implantti ei rajoitu tiettyyn laiteohjelmistotyyppiin, vaan se on laiteohjelmistoagnostinen. Siksi teoriassa sitä voitaisiin mahdollisesti käyttää laiteohjelmistokuvissa eri valmistajien reitittimille.

Valtion tukemien hakkereiden kohdistus huonosti suojattuihin reitittimiin ei ole yllättävää. Bottiverkkojen kohteena ovat usein reitittimet, kuten hajautetut palvelunestohyökkäykset (DDoS) tai krypto-louhintatoiminnot. Näissä hyökkäyksissä hyödynnetään reitittimien usein huomiotta jätettyjä turvatoimia, jolloin vaarantuneet laitteet voivat toimia huomaamattomina haitallisten toimintojen laukaisualustoina samalla, kun ne peittävät hyökkääjän alkuperän.