ਹਾਰਸ ਸ਼ੈੱਲ ਮਾਲਵੇਅਰ
"ਕੈਮਰੋ ਡਰੈਗਨ" ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ ਇੱਕ ਹੈਕਿੰਗ ਸਮੂਹ, ਜਿਸਨੂੰ ਚੀਨ ਦੁਆਰਾ ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ, ਨੂੰ ਹਾਰਸ ਸ਼ੈੱਲ ਨਾਮਕ ਇੱਕ ਕਸਟਮ ਮਾਲਵੇਅਰ ਨਾਲ ਰਿਹਾਇਸ਼ੀ TP-ਲਿੰਕ ਰਾਊਟਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਦੇ ਹੋਏ ਪਾਇਆ ਗਿਆ ਹੈ। ਇਹ ਹਮਲਾ ਮੁਹਿੰਮ ਖਾਸ ਤੌਰ 'ਤੇ ਯੂਰਪੀਅਨ ਵਿਦੇਸ਼ੀ ਮਾਮਲਿਆਂ ਦੇ ਸੰਗਠਨਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾ ਰਹੀ ਹੈ।
ਹੈਕਰ ਇਸ ਬੈਕਡੋਰ ਮਾਲਵੇਅਰ ਨੂੰ TP-Link ਰਾਊਟਰਾਂ ਲਈ ਅਨੁਕੂਲਿਤ ਅਤੇ ਧਮਕੀ ਭਰੇ ਫਰਮਵੇਅਰ ਰਾਹੀਂ ਤੈਨਾਤ ਕਰਦੇ ਹਨ। ਅਜਿਹਾ ਕਰਨ ਨਾਲ, ਉਹ ਅਜਿਹੇ ਹਮਲੇ ਕਰ ਸਕਦੇ ਹਨ ਜੋ ਰਿਹਾਇਸ਼ੀ ਨੈੱਟਵਰਕਾਂ ਤੋਂ ਪੈਦਾ ਹੋਏ ਜਾਪਦੇ ਹਨ।
ਇਸ ਕਿਸਮ ਦਾ ਹਮਲਾ ਨਿਯਮਤ ਰਿਹਾਇਸ਼ੀ ਅਤੇ ਘਰੇਲੂ ਨੈੱਟਵਰਕਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ। ਇਸ ਲਈ, ਇੱਕ ਘਰੇਲੂ ਰਾਊਟਰ ਦੀ ਲਾਗ ਇਹ ਜ਼ਰੂਰੀ ਨਹੀਂ ਦਰਸਾਉਂਦੀ ਹੈ ਕਿ ਘਰ ਦੇ ਮਾਲਕ ਖੁਦ ਇੱਕ ਖਾਸ ਨਿਸ਼ਾਨਾ ਸਨ; ਇਸ ਦੀ ਬਜਾਏ, ਉਹਨਾਂ ਦੇ ਯੰਤਰ ਹਮਲਾਵਰਾਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਟੀਚਿਆਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਰਾਹ ਦੀ ਸਹੂਲਤ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ।
ਇੱਕ ਵਾਰ ਮਾਲਵੇਅਰ ਤੈਨਾਤ ਹੋ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ ਤੱਕ ਪੂਰੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਲੈਂਦੇ ਹਨ। ਇਸ ਵਿੱਚ ਸ਼ੈੱਲ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਫਾਈਲਾਂ ਨੂੰ ਅੱਪਲੋਡ ਅਤੇ ਡਾਉਨਲੋਡ ਕਰਨ, ਅਤੇ ਡਿਵਾਈਸਾਂ ਵਿਚਕਾਰ ਸੰਚਾਰ ਦੀ ਸਹੂਲਤ ਲਈ ਰਾਊਟਰ ਨੂੰ SOCKS ਪ੍ਰੌਕਸੀ ਵਜੋਂ ਵਰਤਣ ਦੀ ਸਮਰੱਥਾ ਸ਼ਾਮਲ ਹੈ।
ਖੋਜ ਨੇ ਜਨਵਰੀ 2023 ਵਿੱਚ ਹਾਰਸ ਸ਼ੈੱਲ TP-ਲਿੰਕ ਫਰਮਵੇਅਰ ਇਮਪਲਾਂਟ ਦੀ ਖੋਜ ਕੀਤੀ। ਉਹਨਾਂ ਨੇ ਦੇਖਿਆ ਹੈ ਕਿ ਹੈਕਰਾਂ ਦੀਆਂ ਗਤੀਵਿਧੀਆਂ ਇੱਕ ਹੋਰ ਚੀਨੀ ਹੈਕਿੰਗ ਸਮੂਹ ਦੇ ਨਾਲ ਮਿਲਦੀਆਂ ਹਨ ਜਿਸਨੂੰ Mustang Panda ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਪਰ ਉਹ ਵੱਖਰੇ ਕੈਮਾਰੋ ਡਰੈਗਨ ਨਾਮ ਹੇਠ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰਾਂ ਨੂੰ ਟਰੈਕ ਕਰ ਰਹੇ ਹਨ।
ਹਾਰਸ ਸ਼ੈੱਲ ਨੂੰ ਅਸੁਰੱਖਿਅਤ TP-ਲਿੰਕ ਫਰਮਵੇਅਰ ਦੁਆਰਾ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ ਹੈ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਦੀਆਂ ਖੋਜਾਂ ਦੇ ਅਨੁਸਾਰ, ਹਮਲਾਵਰ ਇੱਕ ਧਮਕੀ ਭਰੀ ਫਰਮਵੇਅਰ ਚਿੱਤਰ ਪੇਸ਼ ਕਰਕੇ ਟੀਪੀ-ਲਿੰਕ ਰਾਊਟਰਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਦੇ ਹਨ। ਇਹ ਰਾਊਟਰ ਦੇ ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ ਜਾਂ ਬ੍ਰੂਟ-ਫੋਰਸ ਤਰੀਕਿਆਂ ਦੁਆਰਾ ਪ੍ਰਸ਼ਾਸਕ ਦੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦਾ ਅਨੁਮਾਨ ਲਗਾਉਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਕੇ ਪ੍ਰਾਪਤ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ।
ਇੱਕ ਵਾਰ ਧਮਕੀ ਅਭਿਨੇਤਾ ਰਾਊਟਰ ਦੇ ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸ ਤੱਕ ਪ੍ਰਸ਼ਾਸਕੀ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰ ਲੈਂਦਾ ਹੈ, ਉਹਨਾਂ ਕੋਲ ਹਾਰਸ ਸ਼ੈੱਲ ਮਾਲਵੇਅਰ ਵਾਲੇ ਕਸਟਮ ਫਰਮਵੇਅਰ ਚਿੱਤਰ ਨਾਲ ਡਿਵਾਈਸ ਨੂੰ ਰਿਮੋਟਲੀ ਅਪਡੇਟ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੁੰਦੀ ਹੈ।
ਖਾਸ ਤੌਰ 'ਤੇ TP-Link ਰਾਊਟਰਾਂ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਫਰਮਵੇਅਰ ਚਿੱਤਰਾਂ ਦੇ ਦੋ ਨਮੂਨੇ ਹੁਣ ਤੱਕ ਖੋਜੇ ਗਏ ਹਨ। ਇਹ ਹਾਨੀਕਾਰਕ ਫਰਮਵੇਅਰ ਸੰਸਕਰਣਾਂ ਵਿੱਚ ਮੂਲ ਫਾਈਲਾਂ ਵਿੱਚ ਵਿਆਪਕ ਸੋਧਾਂ ਅਤੇ ਜੋੜ ਸ਼ਾਮਲ ਹਨ।
ਇੱਕ ਜਾਇਜ਼ ਸੰਸਕਰਣ ਨਾਲ ਛੇੜਛਾੜ ਕੀਤੇ TP-Link ਫਰਮਵੇਅਰ ਦੀ ਤੁਲਨਾ ਕਰਨ ਵਿੱਚ, ਮਾਹਰਾਂ ਨੇ ਪਾਇਆ ਕਿ ਕਰਨਲ ਅਤੇ uBoot ਭਾਗ ਇੱਕੋ ਜਿਹੇ ਸਨ। ਹਾਲਾਂਕਿ, ਅਸੁਰੱਖਿਅਤ ਫਰਮਵੇਅਰ ਨੇ ਇੱਕ ਕਸਟਮ SquashFS ਫਾਈਲ ਸਿਸਟਮ ਨੂੰ ਸ਼ਾਮਲ ਕੀਤਾ ਹੈ ਜਿਸ ਵਿੱਚ ਹਾਰਸ ਸ਼ੈੱਲ ਬੈਕਡੋਰ ਇਮਪਲਾਂਟ ਨਾਲ ਜੁੜੇ ਵਾਧੂ ਨਿਕਾਰਾ ਫਾਈਲ ਕੰਪੋਨੈਂਟ ਸ਼ਾਮਲ ਹਨ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਅਸੁਰੱਖਿਅਤ ਫਰਮਵੇਅਰ ਪ੍ਰਬੰਧਨ ਵੈੱਬ ਪੈਨਲ ਨੂੰ ਵੀ ਬਦਲਦਾ ਹੈ, ਜੰਤਰ ਮਾਲਕ ਨੂੰ ਰਾਊਟਰ 'ਤੇ ਇੱਕ ਨਵੇਂ ਫਰਮਵੇਅਰ ਚਿੱਤਰ ਨੂੰ ਫਲੈਸ਼ ਕਰਨ ਤੋਂ ਰੋਕਦਾ ਹੈ ਅਤੇ ਨਾਲ ਹੀ ਲਾਗ ਦੇ ਨਿਰੰਤਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਂਦਾ ਹੈ।
ਹਾਰਸ ਸ਼ੈੱਲ ਇਮਪਲਾਂਟ ਦੀਆਂ ਨੁਕਸਾਨਦੇਹ ਸਮਰੱਥਾਵਾਂ
ਇੱਕ ਵਾਰ ਹਾਰਸ ਸ਼ੈੱਲ ਬੈਕਡੋਰ ਇਮਪਲਾਂਟ ਐਕਟੀਵੇਟ ਹੋ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਇਸਦੀ ਸਥਿਰਤਾ ਅਤੇ ਗੁਪਤ ਸੰਚਾਲਨ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ ਕਈ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਸਭ ਤੋਂ ਪਹਿਲਾਂ, ਇਹ ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਨੂੰ ਨਿਰਦੇਸ਼ ਦਿੰਦਾ ਹੈ ਕਿ ਜਦੋਂ ਕੁਝ ਕਮਾਂਡਾਂ, ਜਿਵੇਂ ਕਿ SIGPIPE, SIGIN ਜਾਂ SIGABRT, ਜਾਰੀ ਕੀਤੀਆਂ ਜਾਂਦੀਆਂ ਹਨ ਤਾਂ ਇਸਦੀ ਪ੍ਰਕਿਰਿਆ ਨੂੰ ਖਤਮ ਨਾ ਕੀਤਾ ਜਾਵੇ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਇਹ ਆਪਣੇ ਆਪ ਨੂੰ ਡੈਮਨ ਵਿੱਚ ਬਦਲਦਾ ਹੈ, ਇਸ ਨੂੰ ਬੈਕਗ੍ਰਾਉਂਡ ਵਿੱਚ ਚੁੱਪਚਾਪ ਚਲਾਉਣ ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ।
ਅੱਗੇ, ਬੈਕਡੋਰ ਓਪਰੇਸ਼ਨ ਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਨਾਲ ਇੱਕ ਕੁਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਪੀੜਤ ਦੀ ਮਸ਼ੀਨ ਪ੍ਰੋਫਾਈਲ ਭੇਜਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਜਾਣਕਾਰੀ ਸ਼ਾਮਲ ਹੁੰਦੀ ਹੈ ਜਿਵੇਂ ਕਿ ਉਪਭੋਗਤਾ ਨਾਮ, ਓਪਰੇਟਿੰਗ ਸਿਸਟਮ ਸੰਸਕਰਣ, ਡਿਵਾਈਸ ਵੇਰਵੇ, IP ਪਤਾ, MAC ਪਤਾ ਅਤੇ ਇਮਪਲਾਂਟ ਦੀਆਂ ਸਮਰਥਿਤ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ।
ਸੈੱਟਅੱਪ ਪੜਾਅ ਨੂੰ ਪੂਰਾ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਹਾਰਸ ਸ਼ੈੱਲ ਧੀਰਜ ਨਾਲ C2 ਸਰਵਰ ਤੋਂ ਨਿਰਦੇਸ਼ਾਂ ਦੀ ਉਡੀਕ ਕਰਦਾ ਹੈ। ਇਹ ਤਿੰਨ ਖਾਸ ਕਮਾਂਡਾਂ ਲਈ ਸੁਣਦਾ ਹੈ:
- ਇੱਕ ਰਿਮੋਟ ਸ਼ੈੱਲ ਸ਼ੁਰੂ ਕਰੋ: ਇਹ ਕਮਾਂਡ ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੇ ਡਿਵਾਈਸ ਤੱਕ ਪੂਰੀ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਦੀ ਹੈ, ਉਹਨਾਂ ਨੂੰ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਅਤੇ ਅਸੁਰੱਖਿਅਤ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਦੇ ਯੋਗ ਬਣਾਉਂਦਾ ਹੈ।
- ਫਾਈਲ ਟ੍ਰਾਂਸਫਰ ਗਤੀਵਿਧੀਆਂ ਕਰੋ: ਬੈਕਡੋਰ ਫਾਈਲਾਂ ਨੂੰ ਅਪਲੋਡ ਕਰਨ ਅਤੇ ਡਾਊਨਲੋਡ ਕਰਨ, ਬੁਨਿਆਦੀ ਫਾਈਲ ਹੇਰਾਫੇਰੀ, ਅਤੇ ਡਾਇਰੈਕਟਰੀ ਗਣਨਾ ਦੀ ਸਹੂਲਤ ਦਿੰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਐਕਟਰਾਂ ਨੂੰ ਸਮਝੌਤਾ ਕੀਤੀ ਡਿਵਾਈਸ 'ਤੇ ਡੇਟਾ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ।
- ਟਨਲਿੰਗ ਸ਼ੁਰੂ ਕਰੋ: ਹਾਰਸ ਸ਼ੈੱਲ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਦੀ ਮੰਜ਼ਿਲ ਅਤੇ ਮੂਲ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਨ ਲਈ ਸੁਰੰਗ ਸ਼ੁਰੂ ਕਰ ਸਕਦਾ ਹੈ। C2 ਸਰਵਰ ਐਡਰੈੱਸ ਨੂੰ ਲੁਕਾ ਕੇ, ਇਹ ਤਕਨੀਕ ਹਮਲਾਵਰਾਂ ਦੀਆਂ ਕਾਰਵਾਈਆਂ ਦੀ ਗੁਪਤਤਾ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਵਿੱਚ ਮਦਦ ਕਰਦੀ ਹੈ।
ਖੋਜਕਰਤਾ ਨੋਟ ਕਰਦੇ ਹਨ ਕਿ ਹਾਰਸ ਸ਼ੈੱਲ ਫਰਮਵੇਅਰ ਇਮਪਲਾਂਟ ਇੱਕ ਵੱਖਰੀ ਕਿਸਮ ਦੇ ਫਰਮਵੇਅਰ ਤੱਕ ਸੀਮਿਤ ਨਹੀਂ ਹੈ ਪਰ ਫਰਮਵੇਅਰ-ਅਗਨੋਸਟਿਕ ਹੈ। ਇਸ ਲਈ, ਸਿਧਾਂਤ ਵਿੱਚ, ਇਹ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਵੱਖ-ਵੱਖ ਵਿਕਰੇਤਾਵਾਂ ਦੇ ਰਾਊਟਰਾਂ ਲਈ ਫਰਮਵੇਅਰ ਚਿੱਤਰਾਂ ਵਿੱਚ ਵਰਤਿਆ ਜਾ ਸਕਦਾ ਹੈ।
ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਹੈਕਰਾਂ ਦੁਆਰਾ ਮਾੜੇ ਸੁਰੱਖਿਅਤ ਰਾਊਟਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣਾ ਕੋਈ ਹੈਰਾਨੀ ਵਾਲੀ ਗੱਲ ਨਹੀਂ ਹੈ। ਰਾਊਟਰਾਂ ਨੂੰ ਅਕਸਰ ਡਿਸਟ੍ਰੀਬਿਊਟਡ ਡੈਨਾਇਲ-ਆਫ-ਸਰਵਿਸ (DDoS) ਹਮਲਿਆਂ ਜਾਂ ਕ੍ਰਿਪਟੋ-ਮਾਈਨਿੰਗ ਓਪਰੇਸ਼ਨ ਵਰਗੀਆਂ ਗਤੀਵਿਧੀਆਂ ਲਈ ਬੋਟਨੈੱਟ ਦੁਆਰਾ ਨਿਸ਼ਾਨਾ ਬਣਾਇਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਹਮਲੇ ਰਾਊਟਰਾਂ ਦੇ ਅਕਸਰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕੀਤੇ ਸੁਰੱਖਿਆ ਉਪਾਵਾਂ ਦਾ ਫਾਇਦਾ ਉਠਾਉਂਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਯੰਤਰਾਂ ਨੂੰ ਹਮਲਾਵਰ ਦੇ ਮੂਲ ਨੂੰ ਅਸਪਸ਼ਟ ਕਰਦੇ ਹੋਏ ਨੁਕਸਾਨਦੇਹ ਗਤੀਵਿਧੀਆਂ ਲਈ ਅਪ੍ਰਤੱਖ ਲਾਂਚਪੈਡ ਵਜੋਂ ਕੰਮ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਮਿਲਦੀ ਹੈ।
