हार्स शेल मालवेयर
"कैमारो ड्रैगन" के रूप में जाना जाने वाला एक हैकिंग समूह, जिसे चीन द्वारा राज्य प्रायोजित माना जाता है, हॉर्स शेल नामक एक कस्टम मैलवेयर के साथ आवासीय टीपी-लिंक राउटर को संक्रमित करता पाया गया है। यह हमला अभियान विशेष रूप से यूरोपीय विदेशी मामलों के संगठनों पर लक्षित है।
हैकर्स इस बैकडोर मालवेयर को टीपी-लिंक राउटर्स के लिए अनुकूलित और धमकी देने वाले फर्मवेयर के माध्यम से तैनात करते हैं। ऐसा करके, वे ऐसे हमले कर सकते हैं जो आवासीय नेटवर्क से उत्पन्न प्रतीत होते हैं।
इस प्रकार का हमला नियमित आवासीय और घरेलू नेटवर्क को निशाना बनाता है। इसलिए, होम राउटर का संक्रमण जरूरी नहीं दर्शाता है कि घर के मालिक स्वयं एक विशिष्ट लक्ष्य थे; बल्कि, उनके उपकरण हमलावरों को उनके लक्ष्यों को प्राप्त करने के लिए रास्ता आसान बनाने का काम करते हैं।
एक बार मैलवेयर तैनात हो जाने के बाद, खतरे के कारक संक्रमित डिवाइस तक पूरी पहुंच प्राप्त कर लेते हैं। इसमें शेल कमांड को निष्पादित करने, फ़ाइलों को अपलोड करने और डाउनलोड करने की क्षमता और उपकरणों के बीच संचार की सुविधा के लिए राउटर को SOCKS प्रॉक्सी के रूप में उपयोग करने की क्षमता शामिल है।
अनुसंधान ने जनवरी 2023 में हॉर्स शेल टीपी-लिंक फर्मवेयर इम्प्लांट की खोज की। उन्होंने देखा है कि हैकर्स की गतिविधियां मस्टैंग पांडा के रूप में जाने जाने वाले एक अन्य चीनी हैकिंग समूह के साथ ओवरलैप होती हैं, लेकिन वे अलग केमेरो ड्रैगन नाम के तहत खतरे के अभिनेताओं पर नज़र रख रहे हैं।
हार्स शेल को असुरक्षित टीपी-लिंक फर्मवेयर के माध्यम से तैनात किया गया है
साइबर सुरक्षा शोधकर्ताओं के निष्कर्षों के अनुसार, हमलावर खतरनाक फर्मवेयर छवि पेश करके टीपी-लिंक राउटर को संक्रमित करते हैं। यह राउटर के सॉफ़्टवेयर में भेद्यता का शोषण करके या क्रूर-बल विधियों के माध्यम से व्यवस्थापक की साख का अनुमान लगाने का प्रयास करके प्राप्त किया जा सकता है।
एक बार थ्रेट एक्टर राउटर के प्रबंधन इंटरफ़ेस तक प्रशासनिक पहुंच प्राप्त कर लेता है, तो उनके पास हॉर्स शेल मालवेयर वाली कस्टम फ़र्मवेयर छवि के साथ डिवाइस को दूरस्थ रूप से अपडेट करने की क्षमता होती है।
टीपी-लिंक राउटर के लिए विशेष रूप से डिजाइन किए गए ट्रोजनाइज्ड फर्मवेयर इमेज के दो नमूने अब तक खोजे जा चुके हैं। इन हानिकारक फ़र्मवेयर संस्करणों में मूल फ़ाइलों में व्यापक संशोधन और परिवर्धन शामिल हैं।
छेड़छाड़ किए गए टीपी-लिंक फर्मवेयर की एक वैध संस्करण के साथ तुलना करने पर, विशेषज्ञों ने पाया कि कर्नेल और यूबूट अनुभाग समान थे। हालांकि, असुरक्षित फर्मवेयर में एक कस्टम स्क्वैशएफएस फाइल सिस्टम शामिल था जिसमें हॉर्स शैल बैकडोर इम्प्लांट से जुड़े अतिरिक्त दूषित फ़ाइल घटक शामिल थे। इसके अलावा, असुरक्षित फर्मवेयर प्रबंधन वेब पैनल को भी बदल देता है, डिवाइस के मालिक को राउटर पर एक नई फर्मवेयर छवि को फ्लैश करने से प्रभावी रूप से रोकता है और साथ ही संक्रमण की दृढ़ता को सुनिश्चित करता है।
हार्स शेल इम्प्लांट की हानिकारक क्षमताएं
एक बार हॉर्स शैल बैकडोर इम्प्लांट सक्रिय हो जाने के बाद, यह अपनी दृढ़ता और गुप्त संचालन सुनिश्चित करने के लिए कई तकनीकों को नियोजित करता है। सबसे पहले, यह ऑपरेटिंग सिस्टम को निर्देश देता है कि जब कुछ कमांड, जैसे SIGPIPE, SIGIN या SIGABRT, जारी किए जाते हैं, तो इसकी प्रक्रिया को समाप्त न करें। इसके अतिरिक्त, यह स्वयं को एक डेमन में परिवर्तित करता है, जिससे यह पृष्ठभूमि में चुपचाप चलने देता है।
अगला, बैकडोर ऑपरेशन के कमांड-एंड-कंट्रोल (C2) सर्वर के साथ एक कनेक्शन स्थापित करता है। यह पीड़ित की मशीन प्रोफ़ाइल भेजता है, जिसमें उपयोगकर्ता नाम, ऑपरेटिंग सिस्टम संस्करण, डिवाइस विवरण, आईपी पता, मैक पता और इम्प्लांट की समर्थित विशेषताएं शामिल हैं।
सेटअप चरण पूरा करने के बाद, हॉर्स शैल धैर्यपूर्वक C2 सर्वर से निर्देशों का इंतजार कर रहा है। यह तीन विशिष्ट आदेशों को सुनता है:
- एक दूरस्थ शेल प्रारंभ करें: यह आदेश खतरे वाले अभिनेताओं को समझौता किए गए डिवाइस तक पूर्ण पहुंच प्रदान करता है, जिससे उन्हें आदेश निष्पादित करने और असुरक्षित गतिविधियों को पूरा करने में सक्षम बनाता है।
- फाइल ट्रांसफर गतिविधियों को निष्पादित करें: बैकडोर फाइलों को अपलोड करने और डाउनलोड करने, मूल फ़ाइल हेरफेर और निर्देशिका गणना की सुविधा प्रदान करता है, जिससे खतरे वाले अभिनेताओं को समझौता किए गए डिवाइस पर डेटा में हेरफेर करने की अनुमति मिलती है।
- टनलिंग शुरू करें: हॉर्स शेल, नेटवर्क ट्रैफिक के गंतव्य और उत्पत्ति को अस्पष्ट करने के लिए टनलिंग शुरू कर सकता है। C2 सर्वर एड्रेस को छुपाकर, यह तकनीक हमलावरों के संचालन की गुप्तता को बनाए रखने में मदद करती है।
शोधकर्ताओं ने ध्यान दिया कि हॉर्स शैल फर्मवेयर इम्प्लांट एक विशिष्ट प्रकार के फर्मवेयर तक ही सीमित नहीं है बल्कि फर्मवेयर-अज्ञेयवादी है। इसलिए, सिद्धांत रूप में, यह संभावित रूप से विभिन्न विक्रेताओं के राउटर के लिए फ़र्मवेयर छवियों में उपयोग किया जा सकता है।
राज्य-प्रायोजित हैकरों द्वारा खराब सुरक्षित राउटरों को लक्षित करना आश्चर्यजनक नहीं है। राउटर्स को अक्सर बोटनेट्स द्वारा डिस्ट्रिब्यूटेड डेनियल-ऑफ़-सर्विस (DDoS) हमलों या क्रिप्टो-माइनिंग ऑपरेशंस जैसी गतिविधियों के लिए लक्षित किया जाता है। ये हमले राउटर के अक्सर अनदेखी किए गए सुरक्षा उपायों का लाभ उठाते हैं, जिससे समझौता किए गए उपकरणों को हमलावर की उत्पत्ति को अस्पष्ट करते हुए हानिकारक गतिविधियों के लिए अगोचर लॉन्चपैड के रूप में काम करने की अनुमति मिलती है।
