Malware Horse Shell

Un grup de hacking cunoscut sub numele de „Camaro Dragon”, despre care se crede că este sponsorizat de stat de China, a fost găsit infectând routerele rezidențiale TP-Link cu un malware personalizat numit Horse Shell. Această campanie de atac vizează în mod special organizațiile europene de afaceri externe.

Hackerii implementează acest malware backdoor prin firmware personalizat și amenințător, adaptat pentru routerele TP-Link. Procedând astfel, ei pot efectua atacuri care par să provină din rețelele rezidențiale.

Acest tip de atac vizează rețelele rezidențiale și de acasă obișnuite. Prin urmare, infecția unui router de acasă nu indică neapărat că proprietarii înșiși au fost o țintă specifică; mai degrabă, dispozitivele lor servesc la facilitarea modului atacatorilor de a-și atinge obiectivele.

Odată ce malware-ul este implementat, actorii amenințărilor obțin acces complet la dispozitivul infectat. Aceasta include capacitatea de a executa comenzi shell, de a încărca și descărca fișiere și de a utiliza routerul ca proxy SOCKS pentru a facilita comunicarea între dispozitive.

Cercetarea a descoperit implantul de firmware Horse Shell TP-Link în ianuarie 2023. Ei au observat că activitățile hackerilor se suprapun cu un alt grup chinez de hacking cunoscut sub numele de Mustang Panda, dar urmăresc actorii amenințărilor sub numele separat Camaro Dragon.

Horse Shell este implementat prin firmware-ul nesigur TP-Link

Conform descoperirilor cercetătorilor în domeniul securității cibernetice, atacatorii infectează routerele TP-Link prin introducerea unei imagini de firmware amenințătoare. Acest lucru poate fi realizat prin exploatarea vulnerabilităților din software-ul routerului sau prin încercarea de a ghici acreditările administratorului prin metode brute-force.

Odată ce actorul amenințării obține acces administrativ la interfața de gestionare a routerului, acesta are capacitatea de a actualiza dispozitivul de la distanță cu imaginea firmware personalizată care conține malware-ul Horse Shell.

Până în prezent, au fost descoperite două mostre de imagini de firmware troian concepute special pentru routerele TP-Link. Aceste versiuni de firmware dăunătoare conțin modificări și completări extinse la fișierele originale.

Comparând firmware-ul TP-Link manipulat cu o versiune legitimă, experții au descoperit că secțiunile kernel și uBoot erau identice. Cu toate acestea, firmware-ul nesigur a încorporat un sistem de fișiere SquashFS personalizat care conținea componente suplimentare de fișiere corupte asociate cu implantul de ușă din spate Horse Shell. Mai mult, firmware-ul nesigur modifică, de asemenea, panoul Web de gestionare, împiedicând efectiv proprietarul dispozitivului să afișeze o nouă imagine de firmware pe router, precum și asigurând persistența infecției.

Capabilitățile dăunătoare ale implantului de carapace de cal

Odată ce implantul pentru ușa din spate Horse Shell este activat, acesta folosește mai multe tehnici pentru a-i asigura persistența și funcționarea sub acoperire. În primul rând, instruiește sistemul de operare să nu își încheie procesul atunci când sunt emise anumite comenzi, cum ar fi SIGPIPE, SIGIN sau SIGABRT. În plus, se transformă într-un demon, permițându-i să ruleze în tăcere în fundal.

Apoi, ușa din spate stabilește o conexiune cu serverul Command-and-Control (C2) al operațiunii. Acesta trimite profilul aparatului victimei, care include informații precum numele de utilizator, versiunea sistemului de operare, detaliile dispozitivului, adresa IP, adresa MAC și caracteristicile suportate ale implantului.

După ce a finalizat faza de configurare, Horse Shell așteaptă cu răbdare instrucțiuni de la serverul C2. Ascultă trei comenzi specifice:

• Porniți un shell de la distanță: această comandă oferă actorilor amenințărilor acces complet la dispozitivul compromis, permițându-le să execute comenzi și să desfășoare activități nesigure.
• Efectuați activități de transfer de fișiere: ușa din spate facilitează încărcarea și descărcarea fișierelor, manipularea de bază a fișierelor și enumerarea directoarelor, permițând actorilor amenințărilor să manipuleze datele de pe dispozitivul compromis.
• Începeți tunelarea: Horse Shell poate iniția tunelarea pentru a ofusca destinația și originea traficului de rețea. Prin ascunderea adresei serverului C2, această tehnică ajută la menținerea stării de ascundere a operațiunilor atacatorilor.

Cercetătorii observă că implantul de firmware Horse Shell nu se limitează la un tip distinct de firmware, ci este agnostic de firmware. Prin urmare, teoretic, ar putea fi utilizat în imagini de firmware pentru routere de la diverși furnizori.

Dirijarea routerelor prost securizate de către hackeri sponsorizați de stat nu este surprinzătoare. Routerele sunt adesea vizate de rețele bot pentru activități precum atacuri distribuite de tip Denial-of-Service (DDoS) sau operațiuni de cripto-mining. Aceste atacuri profită de măsurile de securitate adesea trecute cu vederea ale routerelor, permițând dispozitivelor compromise să servească drept platforme de lansare discrete pentru activități dăunătoare, în timp ce ascund originea atacatorului.