មេរោគ Horse Shell

ក្រុម hacking ដែលគេស្គាល់ថាជា "Camaro Dragon" ដែលត្រូវបានគេជឿថាត្រូវបានឧបត្ថម្ភដោយរដ្ឋរបស់ប្រទេសចិន ត្រូវបានគេរកឃើញថាបានឆ្លងមេរោគ router TP-Link លំនៅដ្ឋានជាមួយនឹងមេរោគផ្ទាល់ខ្លួនហៅថា Horse Shell។ យុទ្ធនាការវាយប្រហារនេះគឺផ្តោតជាពិសេសទៅលើអង្គការកិច្ចការបរទេសអឺរ៉ុប។

ពួក Hacker ដាក់ពង្រាយមេរោគ backdoor នេះតាមរយៈកម្មវិធីបង្កប់ដែលបានប្ដូរតាមបំណង និងគំរាមកំហែងដែលតម្រូវសម្រាប់រ៉ោតទ័រ TP-Link ។ តាមរយៈការធ្វើដូច្នេះ ពួកគេអាចអនុវត្តការវាយប្រហារដែលហាក់ដូចជាមានប្រភពចេញពីបណ្តាញលំនៅដ្ឋាន។

ប្រភេទនៃការវាយប្រហារនេះមានគោលដៅលើបណ្តាញលំនៅដ្ឋាន និងផ្ទះធម្មតា។ ដូច្នេះការឆ្លងមេរោគនៃរ៉ោតទ័រផ្ទះមិនចាំបាច់បង្ហាញថាម្ចាស់ផ្ទះខ្លួនឯងគឺជាគោលដៅជាក់លាក់មួយ; ផ្ទុយទៅវិញ ឧបករណ៍របស់ពួកគេបម្រើដើម្បីជួយសម្រួលដល់ផ្លូវសម្រាប់អ្នកវាយប្រហារដើម្បីសម្រេចបាននូវគោលដៅរបស់ពួកគេ។

នៅពេលដែលមេរោគត្រូវបានដាក់ពង្រាយ តួអង្គគំរាមកំហែងទទួលបានសិទ្ធិពេញលេញទៅកាន់ឧបករណ៍ដែលមានមេរោគ។ នេះរួមបញ្ចូលទាំងសមត្ថភាពក្នុងការប្រតិបត្តិពាក្យបញ្ជាសែល ផ្ទុកឡើង និងទាញយកឯកសារ និងប្រើប្រាស់រ៉ោតទ័រជាប្រូកស៊ី SOCKS ដើម្បីជួយសម្រួលដល់ការទំនាក់ទំនងរវាងឧបករណ៍។

ការស្រាវជ្រាវបានរកឃើញកម្មវិធីបង្កប់កម្មវិធីបង្កប់ Horse Shell TP-Link នៅក្នុងខែមករា ឆ្នាំ 2023។ ពួកគេបានសង្កេតឃើញថាសកម្មភាពរបស់ពួក Hacker ជាន់គ្នាជាមួយនឹងក្រុម Hacker របស់ចិនផ្សេងទៀតដែលគេស្គាល់ថា Mustang Panda ប៉ុន្តែពួកគេកំពុងតាមដានអ្នកគំរាមកំហែងក្រោមឈ្មោះ Camaro Dragon ដាច់ដោយឡែក។

Horse Shell ត្រូវបានដាក់ឱ្យប្រើប្រាស់តាមរយៈកម្មវិធី Unsafe TP-Link Firmware

យោងតាមការរកឃើញរបស់អ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិត អ្នកវាយប្រហារបានឆ្លងរ៉ោតទ័រ TP-Link ដោយបង្ហាញរូបភាពកម្មវិធីបង្កប់ដែលគំរាមកំហែង។ នេះអាចសម្រេចបានដោយការទាញយកភាពងាយរងគ្រោះនៅក្នុងកម្មវិធីរបស់រ៉ោតទ័រ ឬដោយការព្យាយាមទាយអត្តសញ្ញាណរបស់អ្នកគ្រប់គ្រងតាមរយៈវិធីសាស្ត្រ brute-force ។

នៅពេលដែលតួអង្គគំរាមកំហែងទទួលបានសិទ្ធិចូលដំណើរការរដ្ឋបាលទៅកាន់ចំណុចប្រទាក់គ្រប់គ្រងរបស់រ៉ោតទ័រ ពួកគេមានសមត្ថភាពធ្វើបច្ចុប្បន្នភាពឧបករណ៍ពីចម្ងាយជាមួយនឹងរូបភាពកម្មវិធីបង្កប់ផ្ទាល់ខ្លួនដែលមានមេរោគ Horse Shell malware ។

គំរូពីរនៃរូបភាពកម្មវិធីបង្កប់ Trojanized ដែលត្រូវបានរចនាឡើងជាពិសេសសម្រាប់រ៉ោតទ័រ TP-Link ត្រូវបានរកឃើញរហូតមកដល់ពេលនេះ។ កំណែកម្មវិធីបង្កប់ដែលបង្កគ្រោះថ្នាក់ទាំងនេះមានការកែប្រែ និងការបន្ថែមឯកសារដើមយ៉ាងទូលំទូលាយ។

ក្នុងការប្រៀបធៀបកម្មវិធីបង្កប់ TP-Link ដែលត្រូវបានរំខានជាមួយនឹងកំណែស្របច្បាប់ អ្នកជំនាញបានរកឃើញថាផ្នែកខឺណែល និង uBoot គឺដូចគ្នាបេះបិទ។ ទោះយ៉ាងណាក៏ដោយ កម្មវិធីបង្កប់ដែលមិនមានសុវត្ថិភាពបានបញ្ចូលប្រព័ន្ធឯកសារ SquashFS ផ្ទាល់ខ្លួនដែលមានសមាសធាតុឯកសារដែលខូចបន្ថែមដែលទាក់ទងនឹងការផ្សាំខាងក្រោយ Horse Shell ។ លើសពីនេះ កម្មវិធីបង្កប់ដែលមិនមានសុវត្ថិភាពក៏ផ្លាស់ប្តូរបន្ទះបណ្តាញគ្រប់គ្រងដោយមានប្រសិទ្ធភាពការពារម្ចាស់ឧបករណ៍មិនឱ្យបញ្ចេញរូបភាពកម្មវិធីបង្កប់ថ្មីនៅលើរ៉ោតទ័រ ក៏ដូចជាធានាការបន្តការឆ្លង។

សមត្ថភាពគ្រោះថ្នាក់នៃការផ្សាំសំបកសេះ

នៅពេលដែលការផ្សាំផ្នែកខាងក្រោយរបស់ Horse Shell ត្រូវបានធ្វើឱ្យសកម្ម វាប្រើប្រាស់បច្ចេកទេសជាច្រើនដើម្បីធានាបាននូវភាពជាប់លាប់ និងប្រតិបត្តិការសម្ងាត់របស់វា។ ទីមួយ វាណែនាំប្រព័ន្ធប្រតិបត្តិការមិនឱ្យបញ្ចប់ដំណើរការរបស់វា នៅពេលដែលពាក្យបញ្ជាមួយចំនួនដូចជា SIGPIPE, SIGIN ឬ SIGABRT ត្រូវបានចេញ។ លើសពីនេះទៀត វាបំប្លែងខ្លួនវាទៅជាដេមិន ដែលអនុញ្ញាតឱ្យវាដំណើរការដោយស្ងៀមស្ងាត់ក្នុងផ្ទៃខាងក្រោយ។

បន្ទាប់មក backdoor បង្កើតការតភ្ជាប់ជាមួយ Command-and-Control (C2) server នៃប្រតិបត្តិការ។ វាផ្ញើប្រវត្តិរូបម៉ាស៊ីនរបស់ជនរងគ្រោះ ដែលរួមមានព័ត៌មានដូចជា ឈ្មោះអ្នកប្រើប្រាស់ កំណែប្រព័ន្ធប្រតិបត្តិការ ព័ត៌មានលម្អិតឧបករណ៍ អាសយដ្ឋាន IP អាសយដ្ឋាន MAC និងលក្ខណៈពិសេសដែលបានគាំទ្រនៃការផ្សាំ។

ដោយបានបញ្ចប់ដំណាក់កាលដំឡើង Horse Shell រង់ចាំការណែនាំពីម៉ាស៊ីនមេ C2 ដោយអត់ធ្មត់។ វាស្តាប់ពាក្យបញ្ជាជាក់លាក់ចំនួនបី៖

• ចាប់ផ្តើមសែលពីចម្ងាយ៖ ពាក្យបញ្ជានេះផ្តល់ឱ្យតួអង្គគំរាមកំហែងពេញលេញនូវការចូលប្រើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល ដោយអនុញ្ញាតឱ្យពួកគេប្រតិបត្តិពាក្យបញ្ជា និងអនុវត្តសកម្មភាពដែលមិនមានសុវត្ថិភាព។
• អនុវត្តសកម្មភាពផ្ទេរឯកសារ៖ Backdoor ជួយសម្រួលដល់ការបង្ហោះ និងការទាញយកឯកសារ ការរៀបចំឯកសារមូលដ្ឋាន និងការរាប់លេខថត ដែលអនុញ្ញាតឱ្យតួអង្គគំរាមកំហែងរៀបចំទិន្នន័យនៅលើឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។
• ចាប់ផ្តើមដំណើរការផ្លូវរូងក្រោមដី៖ Horse Shell អាចផ្តួចផ្តើមដំណើរការផ្លូវរូងក្រោមដី ដើម្បីបំភ័ន្តទិសដៅ និងប្រភពដើមនៃចរាចរណ៍បណ្តាញ។ តាមរយៈការលាក់អាសយដ្ឋានម៉ាស៊ីនមេ C2 បច្ចេកទេសនេះជួយរក្សាភាពសម្ងាត់នៃប្រតិបត្តិការរបស់អ្នកវាយប្រហារ។

អ្នកស្រាវជ្រាវបានកត់សម្គាល់ថា Horse Shell firmware implant មិនត្រូវបានកំណត់ចំពោះប្រភេទ firmware ដាច់ដោយឡែកនោះទេ ប៉ុន្តែជា firmware-agnostic ។ ដូច្នេះតាមទ្រឹស្តី វាអាចប្រើជារូបភាពកម្មវិធីបង្កប់សម្រាប់រ៉ោតទ័រពីអ្នកលក់ផ្សេងៗ។

ការកំណត់គោលដៅនៃរ៉ោតទ័រដែលមានសុវត្ថិភាពមិនល្អដោយពួក Hacker ដែលឧបត្ថម្ភដោយរដ្ឋគឺមិនគួរឱ្យភ្ញាក់ផ្អើលនោះទេ។ រ៉ោតទ័រ ជារឿយៗត្រូវបានកំណត់គោលដៅដោយ botnet សម្រាប់សកម្មភាពដូចជា ការវាយប្រហារចែកចាយ Denial-of-Service (DDoS) ឬប្រតិបត្តិការ crypto-mining ។ ការវាយប្រហារទាំងនេះទាញយកអត្ថប្រយោជន៍ពីវិធានការសុវត្ថិភាពដែលតែងតែមើលរំលងរបស់រ៉ោតទ័រ ដែលអនុញ្ញាតឱ្យឧបករណ៍ដែលត្រូវបានសម្របសម្រួលដំណើរការជាផ្ទាំងបើកដំណើរការដែលមិនច្បាស់លាស់សម្រាប់សកម្មភាពបង្កគ្រោះថ្នាក់ ខណៈពេលដែលបិទបាំងប្រភពដើមរបស់អ្នកវាយប្រហារ។