Horse Shell Malware

En hackergruppe kjent som «Camaro Dragon», som antas å være statsstøttet av Kina, har blitt funnet å infisere TP-Link-rutere i boliger med en tilpasset skadelig programvare kalt Horse Shell. Denne angrepskampanjen er spesielt rettet mot europeiske utenriksorganisasjoner.

Hackerne distribuerer denne bakdøren malware gjennom tilpasset og truende firmware skreddersydd for TP-Link-rutere. Ved å gjøre det kan de utføre angrep som ser ut til å stamme fra bolignettverk.

Denne typen angrep retter seg mot vanlige bolig- og hjemmenettverk. Derfor indikerer infeksjonen av en hjemmeruter ikke nødvendigvis at huseierne selv var et spesifikt mål; snarere tjener enhetene deres til å lette veien for angriperne å nå sine mål.

Når skadevaren er distribuert, får trusselaktørene full tilgang til den infiserte enheten. Dette inkluderer muligheten til å utføre skallkommandoer, laste opp og laste ned filer, og bruke ruteren som en SOCKS-proxy for å lette kommunikasjonen mellom enheter.

Forskningen oppdaget Horse Shell TP-Link-fastvareimplantatet i januar 2023. De har observert at hackernes aktiviteter overlapper med en annen kinesisk hackergruppe kjent som Mustang Panda, men de sporer trusselaktørene under det separate Camaro Dragon-navnet.

Horse Shell distribueres via Unsafe TP-Link Firmware

I følge funnene til cybersikkerhetsforskerne infiserer angriperne TP-Link-rutere ved å introdusere et truende fastvarebilde. Dette kan ha blitt oppnådd ved å utnytte sårbarheter i ruterens programvare eller ved å forsøke å gjette administratorens legitimasjon gjennom brute-force-metoder.

Når trusselaktøren får administrativ tilgang til ruterens administrasjonsgrensesnitt, har de muligheten til å eksternt oppdatere enheten med det tilpassede fastvarebildet som inneholder Horse Shell-malware.

To eksempler på trojaniserte fastvarebilder spesielt designet for TP-Link-rutere er blitt oppdaget så langt. Disse skadelige fastvareversjonene inneholder omfattende modifikasjoner og tillegg til originalfilene.

Ved å sammenligne den manipulerte TP-Link-fastvaren med en legitim versjon, fant ekspertene ut at kjerne- og uBoot-delene var identiske. Den usikre fastvaren inneholdt imidlertid et tilpasset SquashFS-filsystem som inneholdt ytterligere ødelagte filkomponenter knyttet til Horse Shell-bakdørsimplantatet. I tillegg endrer den usikre fastvaren også administrasjonsnettpanelet, og forhindrer effektivt at eieren av enheten viser et nytt fastvarebilde på ruteren, i tillegg til at infeksjonen vedvarer.

De skadelige egenskapene til hesteskallimplantatet

Når Horse Shell-bakdørsimplantatet er aktivert, bruker det flere teknikker for å sikre utholdenhet og skjult drift. For det første instruerer den operativsystemet om ikke å avslutte prosessen når visse kommandoer, som SIGPIPE, SIGIN eller SIGABRT, utstedes. I tillegg konverterer den seg selv til en demon, slik at den kan kjøre stille i bakgrunnen.

Deretter oppretter bakdøren en forbindelse med Command-and-Control (C2)-serveren for operasjonen. Den sender offerets maskinprofil, som inkluderer informasjon som brukernavn, operativsystemversjon, enhetsdetaljer, IP-adresse, MAC-adresse og støttede funksjoner til implantatet.

Etter å ha fullført oppsettfasen, venter Horse Shell tålmodig på instruksjoner fra C2-serveren. Den lytter etter tre spesifikke kommandoer:

• Start et eksternt skall: Denne kommandoen gir trusselaktørene full tilgang til den kompromitterte enheten, slik at de kan utføre kommandoer og utføre utrygge aktiviteter.
• Utfør filoverføringsaktiviteter: Bakdøren letter opplasting og nedlasting av filer, grunnleggende filmanipulering og katalogoppregning, slik at trusselaktørene kan manipulere data på den kompromitterte enheten.
• Start tunnelering: Horse Shell kan starte tunnelering for å skjule destinasjonen og opprinnelsen til nettverkstrafikk. Ved å skjule C2-serveradressen bidrar denne teknikken til å opprettholde snikingen til angripernes operasjoner.

Forskere bemerker at Horse Shell-fastvareimplantatet ikke er begrenset til en distinkt type fastvare, men er fastvare-agnostisk. Derfor kan det i teorien potensielt brukes i fastvarebilder for rutere fra forskjellige leverandører.

Målrettingen av dårlig sikrede rutere av statsstøttede hackere er ikke overraskende. Rutere er ofte målrettet av botnett for aktiviteter som distribuerte Denial-of-Service-angrep (DDoS) eller kryptogruvedrift. Disse angrepene drar fordel av ruterens ofte oversett sikkerhetstiltak, slik at de kompromitterte enhetene kan tjene som upåfallende oppskytningsramper for skadelige aktiviteter mens de skjuler opprinnelsen til angriperen.