תוכנה זדונית של מעטפת סוס

קבוצת פריצה הידועה בשם "קמארו דרקון", על פי האמונה היא בחסות המדינה על ידי סין, נמצאה מדביקה נתבי TP-Link למגורים בתוכנה זדונית מותאמת אישית בשם Horse Shell. קמפיין תקיפה זה מכוון במיוחד לארגוני חוץ אירופיים.

ההאקרים פורסים את התוכנה הזדונית הזו בדלת האחורית באמצעות קושחה מותאמת ומאיימת המותאמת לנתבי TP-Link. בכך הם יכולים לבצע התקפות שנראה כי מקורן ברשתות מגורים.

סוג זה של תקיפה מכוון לרשתות מגורים וביתיות רגילות. לכן, הדבקה של נתב ביתי לא בהכרח מעידה על כך שבעלי הבית עצמם היו מטרה ספציפית; אלא, המכשירים שלהם משמשים כדי להקל על התוקפים את הדרך להשיג את מטרותיהם.

לאחר פריסת התוכנה הזדונית, שחקני האיום מקבלים גישה מלאה למכשיר הנגוע. זה כולל את היכולת לבצע פקודות מעטפת, להעלות ולהוריד קבצים, ולהשתמש בנתב כפרוקסי SOCKS כדי להקל על התקשורת בין מכשירים.

המחקר גילה את שתל הקושחה Horse Shell TP-Link בינואר 2023. הם הבחינו שפעילויות ההאקרים חופפות לקבוצת פריצה סינית אחרת המכונה Mustang Panda, אך הם עוקבים אחר גורמי האיום תחת השם הנפרד Camaro Dragon.

Horse Shell נפרס באמצעות קושחה TP-Link לא בטוחה

על פי הממצאים של חוקרי אבטחת הסייבר, התוקפים מדביקים נתבי TP-Link על ידי הצגת תמונת קושחה מאיימת. ייתכן שהדבר הושג על ידי ניצול נקודות תורפה בתוכנת הנתב או על ידי ניסיון לנחש את האישורים של המנהל באמצעות שיטות כוח גסות.

ברגע ששחקן האיום משיג גישה מנהלתית לממשק הניהול של הנתב, יש לו את היכולת לעדכן מרחוק את המכשיר בתמונת הקושחה המותאמת אישית המכילה את התוכנה הזדונית Horse Shell.

שתי דוגמאות של תמונות קושחה טרויאניות שתוכננו במיוחד עבור נתבי TP-Link התגלו עד כה. גרסאות הקושחה המזיקות הללו מכילות שינויים ותוספות נרחבות לקבצים המקוריים.

בהשוואה בין קושחת TP-Link עם גרסה לגיטימית, המומחים גילו שחלקי הליבה ו-uBoot היו זהים. עם זאת, הקושחה הלא בטוחה שילבה מערכת קבצים מותאמת אישית של SquashFS שהכילה רכיבי קבצים פגומים נוספים הקשורים לשתל הדלת האחורית של Horse Shell. יתר על כן, הקושחה הלא בטוחה משנה גם את פאנל האינטרנט של הניהול, ומונעת למעשה מבעל המכשיר להבהב תמונת קושחה חדשה על הנתב, כמו גם מבטיחה את התמשכות הזיהום.

היכולות המזיקות של שתל מעטפת הסוס

לאחר הפעלת השתל האחורי של ה-Short Shell, הוא משתמש במספר טכניקות על מנת להבטיח את התמדתו ואת פעולתו הסמויה. ראשית, הוא מורה למערכת ההפעלה לא להפסיק את התהליך שלה כאשר פקודות מסוימות, כגון SIGPIPE, SIGIN או SIGABRT, מונפקות. בנוסף, הוא ממיר את עצמו לדמון, ומאפשר לו לרוץ בשקט ברקע.

לאחר מכן, הדלת האחורית יוצרת חיבור עם שרת הפקודה והבקרה (C2) של הפעולה. הוא שולח את פרופיל המכונה של הקורבן, הכולל מידע כגון שם המשתמש, גרסת מערכת ההפעלה, פרטי המכשיר, כתובת ה-IP, כתובת ה-MAC והתכונות הנתמכות של השתל.

לאחר השלמת שלב ההתקנה, Horse Shell ממתין בסבלנות להנחיות משרת C2. הוא מקשיב לשלוש פקודות ספציפיות:

• התחל מעטפת מרחוק: פקודה זו מעניקה לשחקני האיום גישה מלאה למכשיר שנפרץ, ומאפשרת להם לבצע פקודות ולבצע פעולות לא בטוחות.
• בצע פעילויות העברת קבצים: הדלת האחורית מאפשרת העלאה והורדה של קבצים, מניפולציה בסיסית של קבצים וספירת ספריות, ומאפשרת לשחקני האיום לתפעל נתונים במכשיר שנפרץ.
• התחל לבצע מנהור: Horse Shell יכולה ליזום מנהור כדי לטשטש את היעד והמקור של תעבורת הרשת. על ידי הסתרת כתובת שרת C2, טכניקה זו עוזרת לשמור על התגנבות של פעולות התוקפים.

החוקרים מציינים ששתל הקושחה של Horse Shell אינו מוגבל לסוג מסוים של קושחה, אלא הוא אגנסטי לקושחה. לכן, בתיאוריה, זה עשוי לשמש בתמונות קושחה עבור נתבים של ספקים שונים.

הכוונה לנתבים לא מאובטחים על ידי האקרים בחסות המדינה אינה מפתיעה. נתבים ממוקדים לרוב על ידי רשתות בוט לפעילויות כמו התקפות מניעת שירות מבוזרות (DDoS) או פעולות כריית קריפטו. התקפות אלו מנצלות את אמצעי האבטחה של הנתבים שמתעלמים ממנו לעתים קרובות, ומאפשרות למכשירים שנפגעו לשמש כנקודות שיגור לא בולטות לפעילויות מזיקות תוך כדי הסתרת מקור התוקף.