Horse Shell Malware

A "Camaro Dragon" néven ismert hackercsoportot, amelyről feltételezik, hogy Kína államilag támogatta, lakossági TP-Link routereket fertőztek meg a Horse Shell nevű egyéni kártevővel. Ez a támadási kampány kifejezetten az európai külügyi szervezeteket célozza meg.

A hackerek a TP-Link útválasztókhoz szabott, testreszabott és fenyegető firmware-en keresztül telepítik ezt a hátsó ajtó rosszindulatú programot. Ezzel olyan támadásokat hajthatnak végre, amelyek látszólag lakossági hálózatokból származnak.

Az ilyen típusú támadások normál lakossági és otthoni hálózatokat céloznak meg. Ezért az otthoni router fertőzése nem feltétlenül jelenti azt, hogy maguk a lakástulajdonosok is konkrét célpontok voltak; eszközeik inkább arra szolgálnak, hogy megkönnyítsék a támadók útját céljaik elérésében.

A kártevő telepítése után a fenyegetés szereplői teljes hozzáférést kapnak a fertőzött eszközhöz. Ez magában foglalja a shell-parancsok végrehajtásának, a fájlok feltöltésének és letöltésének lehetőségét, valamint az útválasztó SOCKS proxyként való használatát az eszközök közötti kommunikáció megkönnyítésére.

A kutatás 2023 januárjában fedezte fel a Horse Shell TP-Link firmware implantátumot. Megfigyelték, hogy a hackerek tevékenysége átfedésben van egy másik kínai hackercsoporttal, a Mustang Panda néven, de külön Camaro Dragon néven követik nyomon a fenyegetés szereplőit.

A Horse Shell telepítése nem biztonságos TP-Link firmware-n keresztül történik

A kiberbiztonsági kutatók megállapításai szerint a támadók fenyegető firmware-kép bevezetésével fertőzik meg a TP-Link routereket. Ezt úgy érhette el, hogy kihasználta az útválasztó szoftverének biztonsági réseit, vagy brute force módszerekkel próbálta kitalálni a rendszergazda hitelesítő adatait.

Miután a fenyegetés szereplője adminisztrátori hozzáférést kap az útválasztó felügyeleti felületéhez, képes távolról frissíteni az eszközt a Horse Shell rosszindulatú szoftvert tartalmazó egyedi firmware-képpel.

Két, kifejezetten TP-Link útválasztókhoz tervezett trójai firmware-képmintát fedeztek fel eddig. Ezek a káros firmware-verziók kiterjedt módosításokat és kiegészítéseket tartalmaznak az eredeti fájlokon.

A manipulált TP-Link firmware és a legális verzió összehasonlítása során a szakértők megállapították, hogy a kernel és az uBoot részek azonosak. A nem biztonságos firmware azonban egy egyéni SquashFS fájlrendszert tartalmazott, amely további sérült fájlösszetevőket tartalmazott a Horse Shell hátsó ajtó implantátumhoz társítva. Ezenkívül a nem biztonságos firmware megváltoztatja a felügyeleti webpanelt is, hatékonyan megakadályozva, hogy az eszköz tulajdonosa új firmware-képet vigyen fel az útválasztóra, valamint biztosítja a fertőzés fennmaradását.

A lóhéj-implantátum káros tulajdonságai

Amint a Horse Shell hátsóajtó-implantátum aktiválva van, számos technikát alkalmaz a tartósság és a rejtett működés biztosítása érdekében. Először is utasítja az operációs rendszert, hogy bizonyos parancsok, például SIGPIPE, SIGIN vagy SIGABRT kiadásakor ne fejezze be a folyamatát. Ezenkívül démonná alakítja magát, lehetővé téve, hogy csendesen futhasson a háttérben.

Ezután a hátsó ajtó kapcsolatot létesít a művelet Command-and-Control (C2) szerverével. Elküldi az áldozat gépprofilját, amely olyan információkat tartalmaz, mint a felhasználónév, az operációs rendszer verziója, az eszköz adatai, az IP-cím, a MAC-cím és az implantátum támogatott funkciói.

A beállítási fázis befejeztével a Horse Shell türelmesen várja a C2 szerver utasításait. Három konkrét parancsra figyel:

• Távoli héj indítása: Ez a parancs teljes hozzáférést biztosít a fenyegetés szereplőinek a feltört eszközhöz, lehetővé téve számukra, hogy parancsokat hajtsanak végre és nem biztonságos tevékenységeket hajtsanak végre.
• Fájlátviteli tevékenységek végrehajtása: A hátsó ajtó megkönnyíti a fájlok feltöltését és letöltését, az alapvető fájlkezelést és a könyvtárak felsorolását, lehetővé téve a fenyegetés szereplői számára, hogy manipulálják az adatokat a feltört eszközön.
• Alagút indítása: A Horse Shell alagútkezelést kezdeményezhet a hálózati forgalom céljának és eredetének elhomályosítására. A C2-kiszolgáló címének elrejtésével ez a technika segít megőrizni a támadók műveleteinek rejtettségét.

A kutatók megjegyzik, hogy a Horse Shell firmware implantátum nem korlátozódik egy bizonyos típusú firmware-re, hanem firmware-agnosztikus. Ezért elméletileg potenciálisan felhasználható firmware-képekben különböző gyártók útválasztóihoz.

Nem meglepő, hogy az államilag támogatott hackerek rosszul védett útválasztókat céloznak meg. A botnetek gyakran az útválasztókat célozzák meg olyan tevékenységek miatt, mint az elosztott szolgáltatásmegtagadási (DDoS) támadások vagy a kripto-bányászati műveletek. Ezek a támadások kihasználják az útválasztók gyakran figyelmen kívül hagyott biztonsági intézkedéseit, lehetővé téve, hogy a feltört eszközök észrevétlen indítópultként szolgáljanak a káros tevékenységekhez, miközben elfedik a támadó származását.