Szkodliwe oprogramowanie Horse Shell

Grupa hakerska znana jako „Camaro Dragon”, uważana za sponsorowaną przez Chiny, infekowała domowe routery TP-Link niestandardowym złośliwym oprogramowaniem o nazwie Horse Shell. Ta kampania ataków jest wymierzona w europejskie organizacje zajmujące się sprawami zagranicznymi.

Hakerzy wdrażają to złośliwe oprogramowanie typu backdoor za pomocą dostosowanego i groźnego oprogramowania układowego dostosowanego do routerów TP-Link. W ten sposób mogą przeprowadzać ataki, które wydają się pochodzić z sieci domowych.

Celem tego typu ataków są zwykłe sieci domowe i domowe. Dlatego infekcja domowego routera nie musi oznaczać, że sami właściciele domów byli konkretnym celem; ich urządzenia służą raczej ułatwieniu atakującym osiągnięcia ich celów.

Po wdrożeniu złośliwego oprogramowania cyberprzestępcy uzyskują pełny dostęp do zainfekowanego urządzenia. Obejmuje to możliwość wykonywania poleceń powłoki, wysyłania i pobierania plików oraz wykorzystywania routera jako proxy SOCKS w celu ułatwienia komunikacji między urządzeniami.

W styczniu 2023 r. badacze odkryli implant firmware TP-Link Horse Shell. Zaobserwowali, że działania hakerów pokrywają się z działaniami innej chińskiej grupy hakerskiej, znanej jako Mustang Panda, ale śledzą cyberprzestępców pod osobną nazwą Camaro Dragon.

Horse Shell jest wdrażany za pośrednictwem niebezpiecznego oprogramowania układowego TP-Link

Według ustaleń badaczy cyberbezpieczeństwa, osoby atakujące infekują routery TP-Link, wprowadzając groźny obraz oprogramowania układowego. Mogło to zostać osiągnięte poprzez wykorzystanie luk w oprogramowaniu routera lub próbę odgadnięcia danych uwierzytelniających administratora metodami brute-force.

Gdy cyberprzestępca uzyska dostęp administracyjny do interfejsu zarządzania routera, może zdalnie zaktualizować urządzenie za pomocą niestandardowego obrazu oprogramowania układowego zawierającego złośliwe oprogramowanie Horse Shell.

Do tej pory odkryto dwie próbki obrazów oprogramowania układowego z trojanami, zaprojektowane specjalnie dla routerów TP-Link. Te szkodliwe wersje oprogramowania układowego zawierają obszerne modyfikacje i dodatki do oryginalnych plików.

Porównując sfałszowane oprogramowanie układowe TP-Link z legalną wersją, eksperci stwierdzili, że sekcje jądra i uBoot były identyczne. Jednak niebezpieczne oprogramowanie układowe zawierało niestandardowy system plików SquashFS, który zawierał dodatkowe uszkodzone komponenty plików związane z implantem backdoora Horse Shell. Co więcej, niebezpieczne oprogramowanie układowe zmienia również panel zarządzania, skutecznie uniemożliwiając właścicielowi urządzenia flashowanie nowego obrazu oprogramowania układowego na routerze, a także zapewniając utrzymywanie się infekcji.

Szkodliwe możliwości implantu z końskiej skorupy

Po aktywowaniu implantu backdoora Horse Shell wykorzystuje on kilka technik, aby zapewnić jego trwałość i tajne działanie. Po pierwsze, instruuje system operacyjny, aby nie przerywał swojego procesu, gdy zostaną wydane określone polecenia, takie jak SIGPIPE, SIGIN lub SIGABRT. Dodatkowo przekształca się w demona, dzięki czemu może działać cicho w tle.

Następnie backdoor nawiązuje połączenie z serwerem Command-and-Control (C2) operacji. Wysyła profil maszyny ofiary, który zawiera informacje takie jak nazwa użytkownika, wersja systemu operacyjnego, szczegóły urządzenia, adres IP, adres MAC oraz obsługiwane funkcje implantu.

Po zakończeniu fazy konfiguracji Horse Shell cierpliwie oczekuje na instrukcje z serwera C2. Nasłuchuje trzech konkretnych poleceń:

• Uruchom zdalną powłokę: to polecenie zapewnia cyberprzestępcom pełny dostęp do zaatakowanego urządzenia, umożliwiając im wykonywanie poleceń i wykonywanie niebezpiecznych działań.
• Wykonywanie działań związanych z przesyłaniem plików: backdoor ułatwia przesyłanie i pobieranie plików, podstawową manipulację plikami i wyliczanie katalogów, umożliwiając cyberprzestępcom manipulowanie danymi na zaatakowanym urządzeniu.
• Rozpocznij tunelowanie: Horse Shell może zainicjować tunelowanie w celu zaciemnienia miejsca docelowego i pochodzenia ruchu sieciowego. Ukrywając adres serwera C2, technika ta pomaga zachować niewidzialność działań atakujących.

Badacze zauważają, że implant oprogramowania układowego Horse Shell nie ogranicza się do odrębnego typu oprogramowania, ale jest niezależny od oprogramowania układowego. Dlatego teoretycznie może być potencjalnie używany w obrazach oprogramowania sprzętowego dla routerów różnych dostawców.

Celowanie w słabo zabezpieczone routery przez hakerów sponsorowanych przez państwo nie jest zaskakujące. Routery są często atakowane przez botnety w ramach działań takich jak rozproszone ataki typu „odmowa usługi” (DDoS) lub operacje wydobywania kryptowalut. Ataki te wykorzystują często pomijane środki bezpieczeństwa routerów, dzięki czemu zaatakowane urządzenia mogą służyć jako niepozorne platformy startowe dla szkodliwych działań, jednocześnie ukrywając pochodzenie atakującego.