Вредоносное ПО Horse Shell

Было обнаружено, что хакерская группа, известная как «Camaro Dragon», которая, как считается, спонсируется государством Китая, заражает домашние маршрутизаторы TP-Link специальным вредоносным ПО под названием Horse Shell. Эта атакующая кампания специально нацелена на европейские организации, занимающиеся иностранными делами.

Хакеры внедряют эту вредоносную программу-бэкдор через специализированную и угрожающую прошивку, специально предназначенную для маршрутизаторов TP-Link. Поступая так, они могут проводить атаки, которые, по-видимому, исходят из жилых сетей.

Этот тип атаки нацелен на обычные жилые и домашние сети. Следовательно, заражение домашнего маршрутизатора не обязательно указывает на то, что сами домовладельцы были конкретной целью; скорее, их устройства служат для облегчения злоумышленникам пути к достижению своих целей.

После развертывания вредоносного ПО злоумышленники получают полный доступ к зараженному устройству. Это включает в себя возможность выполнять команды оболочки, загружать и скачивать файлы, а также использовать маршрутизатор в качестве прокси-сервера SOCKS для облегчения связи между устройствами.

В ходе исследования в январе 2023 года был обнаружен имплант прошивки Horse Shell TP-Link. Они заметили, что деятельность хакеров совпадает с деятельностью другой китайской хакерской группы, известной как Mustang Panda, но они отслеживают участников угроз под другим именем Camaro Dragon.

Horse Shell развертывается через небезопасную прошивку TP-Link

Согласно выводам специалистов по кибербезопасности, злоумышленники заражают маршрутизаторы TP-Link, внедряя угрожающий образ прошивки. Это могло быть достигнуто за счет использования уязвимостей в программном обеспечении маршрутизатора или попытки угадать учетные данные администратора с помощью методов грубой силы.

Как только злоумышленник получит административный доступ к интерфейсу управления маршрутизатором, он сможет удаленно обновить устройство с помощью пользовательского образа прошивки, содержащего вредоносное ПО Horse Shell.

На данный момент обнаружено два образца троянизированных образов прошивок, специально предназначенных для роутеров TP-Link. Эти вредоносные версии прошивки содержат обширные модификации и дополнения к исходным файлам.

При сравнении поддельной прошивки TP-Link с легитимной версией эксперты обнаружили, что разделы ядра и uBoot идентичны. Однако небезопасная прошивка включала пользовательскую файловую систему SquashFS, которая содержала дополнительные поврежденные файловые компоненты, связанные с бэкдором-имплантатом Horse Shell. Кроме того, небезопасная прошивка также изменяет веб-панель управления, эффективно не позволяя владельцу устройства установить новый образ прошивки на маршрутизатор, а также обеспечивая сохранение заражения.

Вредные свойства имплантата из конского панциря

После того, как бэкдор-имплант Horse Shell активируется, он использует несколько методов, чтобы обеспечить его постоянство и тайную работу. Во-первых, он предписывает операционной системе не завершать свой процесс при выполнении определенных команд, таких как SIGPIPE, SIGIN или SIGABRT. Кроме того, он преобразует себя в демона, что позволяет ему работать в фоновом режиме.

Затем бэкдор устанавливает соединение с сервером управления и контроля (C2) операции. Он отправляет профиль компьютера жертвы, который включает в себя такую информацию, как имя пользователя, версия операционной системы, сведения об устройстве, IP-адрес, MAC-адрес и поддерживаемые функции имплантата.

Завершив этап настройки, Horse Shell терпеливо ждет инструкций от сервера C2. Он слушает три конкретные команды:

• Запустить удаленную оболочку. Эта команда предоставляет злоумышленникам полный доступ к скомпрометированному устройству, позволяя им выполнять команды и выполнять небезопасные действия.
• Выполнение действий по передаче файлов. Бэкдор облегчает загрузку и скачивание файлов, базовые операции с файлами и перечисление каталогов, позволяя злоумышленникам манипулировать данными на скомпрометированном устройстве.
• Начать туннелирование: Horse Shell может инициировать туннелирование, чтобы скрыть место назначения и источник сетевого трафика. Скрывая адрес сервера C2, этот метод помогает сохранять скрытность операций злоумышленников.

Исследователи отмечают, что микропрограммный имплантат Horse Shell не ограничивается отдельным типом микропрограммы, а не зависит от микропрограммы. Поэтому, теоретически, потенциально его можно было бы использовать в образах прошивок для роутеров разных производителей.

Нападение хакеров, спонсируемых государством, на плохо защищенные маршрутизаторы неудивительно. Маршрутизаторы часто становятся мишенью ботнетов для таких действий, как распределенные атаки типа «отказ в обслуживании» (DDoS) или операции по добыче криптовалюты. Эти атаки используют преимущества часто упускаемых из виду мер безопасности маршрутизаторов, позволяя взломанным устройствам служить незаметными стартовыми площадками для вредоносных действий, скрывая при этом происхождение злоумышленника.