हर्स शेल मालवेयर
"क्यामारो ड्र्यागन" भनेर चिनिने ह्याकिङ समूहले चीनको राज्य प्रायोजित मानिन्छ, आवासीय TP-Link राउटरहरूलाई Horse Shell भनिने कस्टम मालवेयरले संक्रमित गरेको पाइयो। यो आक्रमण अभियान विशेष गरी युरोपेली विदेशी मामिला संगठनहरूलाई लक्षित गरिएको छ।
ह्याकरहरूले यो ब्याकडोर मालवेयरलाई TP-Link राउटरहरूको लागि अनुकूलित र धम्कीपूर्ण फर्मवेयर मार्फत प्रयोग गर्छन्। त्यसो गरेर, तिनीहरूले आक्रमणहरू गर्न सक्छन् जुन आवासीय नेटवर्कहरूबाट उत्पन्न भएको देखिन्छ।
यस प्रकारको आक्रमणले नियमित आवासीय र गृह सञ्जालहरूलाई लक्षित गर्दछ। त्यसकारण, घरको राउटरको संक्रमणले घरमालिकहरू आफैं एक विशेष लक्ष्य थिए भनेर संकेत गर्दैन; बरु, तिनीहरूका यन्त्रहरूले आक्रमणकारीहरूलाई तिनीहरूको लक्ष्यहरू प्राप्त गर्नको लागि बाटो सहज बनाउँछन्।
एकचोटि मालवेयर डिप्लोइड भएपछि, खतराकर्ताहरूले संक्रमित यन्त्रमा पूर्ण पहुँच पाउँछन्। यसमा शेल आदेशहरू कार्यान्वयन गर्ने, फाइलहरू अपलोड र डाउनलोड गर्ने, र राउटरलाई SOCKS प्रोक्सीको रूपमा प्रयोग गर्ने यन्त्रहरू बीचको सञ्चारलाई सहज बनाउन सक्ने क्षमता समावेश छ।
अनुसन्धानले जनवरी 2023 मा Horse Shell TP-Link फर्मवेयर इम्प्लान्ट पत्ता लगाएको थियो। तिनीहरूले ह्याकरहरूको गतिविधिहरू Mustang Panda भनिने अर्को चिनियाँ ह्याकिङ समूहसँग ओभरल्याप भएको देखेका छन्, तर तिनीहरूले छुट्टै क्यामारो ड्र्यागन नाम अन्तर्गत खतरा अभिनेताहरूलाई ट्र्याक गरिरहेका छन्।
Horse Shell असुरक्षित TP-Link फर्मवेयर मार्फत तैनाथ गरिएको छ
साइबरसुरक्षा अनुसन्धानकर्ताहरूको निष्कर्ष अनुसार, आक्रमणकारीहरूले TP-Link राउटरहरूलाई धम्की दिने फर्मवेयर छवि प्रस्तुत गरेर संक्रमित गर्छन्। यो राउटरको सफ्टवेयरमा कमजोरीहरूको शोषण गरेर वा ब्रूट-फोर्स विधिहरू मार्फत प्रशासकको प्रमाणहरू अनुमान गर्ने प्रयास गरेर प्राप्त भएको हुन सक्छ।
एक पटक खतरा अभिनेताले राउटरको व्यवस्थापन इन्टरफेसमा प्रशासनिक पहुँच प्राप्त गरेपछि, तिनीहरूसँग हर्स शेल मालवेयर समावेश भएको अनुकूलन फर्मवेयर छविको साथ टाढाबाट उपकरण अद्यावधिक गर्ने क्षमता हुन्छ।
TP-Link राउटरहरूको लागि विशेष रूपमा डिजाइन गरिएको ट्रोजनाइज्ड फर्मवेयर छविहरूको दुई नमूनाहरू अहिलेसम्म फेला परेका छन्। यी हानिकारक फर्मवेयर संस्करणहरूमा मौलिक फाइलहरूमा व्यापक परिमार्जन र थपहरू समावेश छन्।
छेडछाड गरिएको TP-Link फर्मवेयरलाई वैध संस्करणसँग तुलना गर्दा, विज्ञहरूले कर्नेल र uBoot खण्डहरू समान थिए भनेर फेला पारे। यद्यपि, असुरक्षित फर्मवेयरले अनुकूलन SquashFS फाइल प्रणाली समावेश गर्यो जसमा Horse Shell ब्याकडोर इम्प्लान्टसँग सम्बन्धित अतिरिक्त दूषित फाइल कम्पोनेन्टहरू समावेश थिए। यसबाहेक, असुरक्षित फर्मवेयरले व्यवस्थापन वेब प्यानललाई पनि परिवर्तन गर्दछ, प्रभावकारी रूपमा उपकरण मालिकलाई राउटरमा नयाँ फर्मवेयर छवि फ्ल्याश गर्नबाट रोक्छ र साथै संक्रमणको निरन्तरता सुनिश्चित गर्दछ।
हार्स शेल इम्प्लान्टको हानिकारक क्षमताहरू
एकपटक हर्स शेल ब्याकडोर इम्प्लान्ट सक्रिय भएपछि, यसले यसको दृढता र गुप्त सञ्चालन सुनिश्चित गर्न धेरै प्रविधिहरू प्रयोग गर्दछ। सर्वप्रथम, यसले अपरेटिङ सिस्टमलाई केही आदेशहरू जस्तै SIGPIPE, SIGIN वा SIGABRT जारी गर्दा यसको प्रक्रिया समाप्त नगर्न निर्देशन दिन्छ। थप रूपमा, यसले आफैलाई डेमनमा रूपान्तरण गर्दछ, यसलाई पृष्ठभूमिमा चुपचाप चलाउन अनुमति दिन्छ।
अर्को, ब्याकडोरले सञ्चालनको आदेश-र-नियन्त्रण (C2) सर्भरसँग जडान स्थापित गर्दछ। यसले पीडितको मेसिन प्रोफाइल पठाउँछ, जसमा प्रयोगकर्ताको नाम, अपरेटिङ सिस्टम संस्करण, उपकरण विवरणहरू, आईपी ठेगाना, MAC ठेगाना र इम्प्लान्टको समर्थित सुविधाहरू जस्ता जानकारी समावेश हुन्छ।
सेटअप चरण पूरा गरेपछि, Horse Shell धैर्यपूर्वक C2 सर्भरबाट निर्देशनहरू पर्खिरहेको छ। यसले तीन विशिष्ट आदेशहरूको लागि सुन्छ:
- रिमोट शेल सुरु गर्नुहोस्: यो कमाण्डले खतरा कर्ताहरूलाई सम्झौता गरिएको यन्त्रमा पूर्ण पहुँच प्रदान गर्दछ, तिनीहरूलाई आदेशहरू कार्यान्वयन गर्न र असुरक्षित गतिविधिहरू सञ्चालन गर्न सक्षम पार्दै।
- फाइल स्थानान्तरण गतिविधिहरू प्रदर्शन गर्नुहोस्: ब्याकडोरले फाइलहरू अपलोड र डाउनलोड गर्न, आधारभूत फाइल हेरफेर, र डाइरेक्टरी गणनालाई सुविधा दिन्छ, जसले खतराकर्ताहरूलाई सम्झौता गरिएको यन्त्रमा डेटा हेरफेर गर्न अनुमति दिन्छ।
- टनेलिङ सुरु गर्नुहोस्: हर्स शेलले नेटवर्क ट्राफिकको गन्तव्य र उत्पत्तिलाई अस्पष्ट गर्न टनेलिङ सुरु गर्न सक्छ। C2 सर्भरको ठेगाना लुकाएर, यो प्रविधिले आक्रमणकारीहरूको अपरेशनको गुप्तता कायम राख्न मद्दत गर्छ।
शोधकर्ताहरूले नोट गर्छन् कि हर्स शेल फर्मवेयर इम्प्लान्ट एक विशिष्ट प्रकारको फर्मवेयरमा सीमित छैन तर फर्मवेयर-अज्ञेयवादी छ। त्यसकारण, सिद्धान्तमा, यो सम्भावित रूपमा विभिन्न विक्रेताहरूबाट राउटरहरूको लागि फर्मवेयर छविहरूमा प्रयोग गर्न सकिन्छ।
राज्य-प्रायोजित ह्याकरहरू द्वारा खराब सुरक्षित राउटरहरूको लक्ष्य अचम्मको कुरा होइन। राउटरहरू प्रायः डिस्ट्रिब्युटेड डिनायल-अफ-सर्भिस (DDoS) आक्रमणहरू वा क्रिप्टो-खनन कार्यहरू जस्ता गतिविधिहरूको लागि बोटनेटहरूद्वारा लक्षित हुन्छन्। यी आक्रमणहरूले राउटरहरूको प्राय: बेवास्ता गरिएका सुरक्षा उपायहरूको फाइदा उठाउँछन्, जसले सम्झौता गरिएका यन्त्रहरूलाई आक्रमणकारीको उत्पत्तिलाई अस्पष्ट पार्दै हानिकारक गतिविधिहरूको लागि अस्पष्ट लन्चप्याडको रूपमा सेवा गर्न अनुमति दिन्छ।
