Zlonamjerni softver Horse Shell

Hakerska skupina poznata kao "Camaro Dragon", za koju se vjeruje da je sponzorirana od strane Kine, pronađena je kako inficira kućne TP-Link usmjerivače prilagođenim zlonamjernim softverom pod nazivom Horse Shell. Ova kampanja napada posebno je usmjerena na europske organizacije za vanjske poslove.

Hakeri postavljaju ovaj backdoor malware putem prilagođenog i prijetećeg firmwarea prilagođenog za TP-Link usmjerivače. Na taj način mogu izvesti napade za koje se čini da potječu iz rezidencijalnih mreža.

Ova vrsta napada cilja na uobičajene stambene i kućne mreže. Stoga infekcija kućnog usmjerivača ne znači nužno da su sami vlasnici kuće bili specifična meta; nego njihovi uređaji služe kako bi napadačima olakšali put do postizanja njihovih ciljeva.

Nakon što se zlonamjerni softver postavi, akteri prijetnje dobivaju potpuni pristup zaraženom uređaju. To uključuje mogućnost izvršavanja naredbi ljuske, učitavanje i preuzimanje datoteka i korištenje usmjerivača kao SOCKS proxyja za olakšavanje komunikacije između uređaja.

Istraživanje je otkrilo firmware implantat Horse Shell TP-Link u siječnju 2023. Primijetili su da se aktivnosti hakera preklapaju s drugom kineskom hakerskom skupinom poznatom kao Mustang Panda, ali prate aktere prijetnje pod zasebnim imenom Camaro Dragon.

Horse Shell je postavljen putem nesigurnog TP-Link firmvera

Prema nalazima istraživača kibernetičke sigurnosti, napadači zaraze TP-Link usmjerivače uvođenjem prijeteće slike firmvera. To se moglo postići iskorištavanjem ranjivosti u softveru usmjerivača ili pokušajem pogađanja administratorskih vjerodajnica metodama brutalne sile.

Jednom kada akter prijetnje dobije administrativni pristup upravljačkom sučelju usmjerivača, ima mogućnost daljinskog ažuriranja uređaja pomoću prilagođene slike firmvera koja sadrži malware Horse Shell.

Do sada su otkrivena dva uzorka trojaniziranih slika firmvera posebno dizajniranih za TP-Link usmjerivače. Ove štetne verzije firmvera sadrže opsežne izmjene i dodatke izvornim datotekama.

Uspoređujući neovlašteno mijenjani firmware TP-Link s legitimnom verzijom, stručnjaci su otkrili da su kernel i uBoot odjeljci identični. Međutim, nesiguran firmware uključivao je prilagođeni datotečni sustav SquashFS koji je sadržavao dodatne oštećene komponente datoteka povezane s ugrađenim stražnjim vratima Horse Shell. Nadalje, nesiguran firmware također mijenja upravljačku web ploču, učinkovito sprječavajući vlasnika uređaja da bljesne novu sliku firmvera na usmjerivač, kao i osiguravajući postojanost infekcije.

Štetne mogućnosti implantata konjske školjke

Nakon što se aktivira stražnji implantat Horse Shell, koristi se nekoliko tehnika kako bi se osigurala njegova postojanost i tajno djelovanje. Prvo, upućuje operacijski sustav da ne prekine svoj proces kada se izdaju određene naredbe, kao što su SIGPIPE, SIGIN ili SIGABRT. Osim toga, pretvara se u demona, omogućujući mu tihi rad u pozadini.

Zatim backdoor uspostavlja vezu s Command-and-Control (C2) poslužiteljem operacije. Šalje profil stroja žrtve, koji uključuje podatke kao što su korisničko ime, verzija operativnog sustava, detalji uređaja, IP adresa, MAC adresa i podržane značajke implantata.

Nakon završetka faze postavljanja, Horse Shell strpljivo čeka upute s C2 poslužitelja. Sluša tri specifične naredbe:

• Pokretanje udaljene ljuske: Ova naredba akterima prijetnje daje potpuni pristup kompromitiranom uređaju, omogućujući im izvršavanje naredbi i provođenje nesigurnih aktivnosti.
• Izvođenje aktivnosti prijenosa datoteka: Backdoor olakšava učitavanje i preuzimanje datoteka, osnovnu manipulaciju datotekama i popis direktorija, dopuštajući akterima prijetnje da manipuliraju podacima na kompromitiranom uređaju.
• Započni tuneliranje: Horse Shell može pokrenuti tuneliranje kako bi zamaglio odredište i porijeklo mrežnog prometa. Skrivanjem adrese C2 poslužitelja, ova tehnika pomaže u održavanju skrivenosti operacija napadača.

Istraživači primjećuju da firmware implantat Horse Shell nije ograničen na različitu vrstu firmwarea, već je agnostičan za firmware. Stoga bi se u teoriji potencijalno mogao koristiti u slikama firmvera za usmjerivače raznih dobavljača.

Nije iznenađujuće što hakeri koje sponzorira država ciljaju loše osigurane usmjerivače. Usmjerivači su često na meti botneta zbog aktivnosti kao što su distribuirani napadi uskraćivanja usluge (DDoS) ili operacije kripto rudarenja. Ovi napadi iskorištavaju sigurnosne mjere usmjerivača koje se često zanemaruju, dopuštajući kompromitiranim uređajima da služe kao neupadljive lansirne plohe za štetne aktivnosti, a prikrivaju podrijetlo napadača.