Horse Shell Malware

Zistilo sa, že hackerská skupina známa ako „Camaro Dragon“, o ktorej sa predpokladá, že je štátom podporovaná Čínou, infikuje rezidenčné smerovače TP-Link vlastným malvérom s názvom Horse Shell. Táto útočná kampaň je špecificky zameraná na európske organizácie pre zahraničné veci.

Hackeri nasadzujú tento backdoor malvér prostredníctvom prispôsobeného a ohrozujúceho firmvéru prispôsobeného pre smerovače TP-Link. Týmto spôsobom môžu vykonávať útoky, ktoré vyzerajú, že pochádzajú z obytných sietí.

Tento typ útoku sa zameriava na bežné obytné a domáce siete. Preto infekcia domáceho smerovača nemusí nevyhnutne znamenať, že samotní majitelia domov boli konkrétnym cieľom; skôr ich zariadenia slúžia na uľahčenie cesty útočníkom k dosiahnutiu ich cieľov.

Po nasadení malvéru získajú aktéri hrozby úplný prístup k infikovanému zariadeniu. To zahŕňa schopnosť vykonávať príkazy shellu, nahrávať a sťahovať súbory a využívať router ako proxy server SOCKS na uľahčenie komunikácie medzi zariadeniami.

Výskum objavil implantát firmvéru Horse Shell TP-Link v januári 2023. Spozorovali, že aktivity hackerov sa prekrývajú s inou čínskou hackerskou skupinou známou ako Mustang Panda, ale sledujú aktérov hrozieb pod samostatným menom Camaro Dragon.

Horse Shell je nasadený cez Unsafe TP-Link Firmware

Podľa zistení výskumníkov v oblasti kybernetickej bezpečnosti útočníci infikujú smerovače TP-Link zavedením hrozivého obrazu firmvéru. To sa dalo dosiahnuť zneužitím zraniteľností v softvéri smerovača alebo pokusom uhádnuť poverenia správcu pomocou metód hrubou silou.

Keď aktér hrozby získa administratívny prístup k rozhraniu správy smerovača, má možnosť na diaľku aktualizovať zariadenie pomocou vlastného obrazu firmvéru obsahujúceho malvér Horse Shell.

Doteraz boli objavené dve vzorky trojanizovaných obrazov firmvéru špeciálne navrhnutých pre smerovače TP-Link. Tieto škodlivé verzie firmvéru obsahujú rozsiahle úpravy a doplnky k pôvodným súborom.

Pri porovnaní sfalšovaného firmvéru TP-Link s legitímnou verziou experti zistili, že časti kernel a uBoot sú identické. Nebezpečný firmvér však obsahoval vlastný súborový systém SquashFS, ktorý obsahoval ďalšie poškodené súčasti súborov spojené s implantátom Horse Shell backdoor. Nebezpečný firmvér navyše mení aj webový panel správy, čím účinne bráni vlastníkovi zariadenia v načítaní nového obrazu firmvéru do smerovača a zároveň zabezpečuje pretrvávanie infekcie.

Škodlivé schopnosti implantátu konskej škrupiny

Akonáhle je implantát Horse Shell backdoor aktivovaný, využíva niekoľko techník na zabezpečenie jeho pretrvávania a skrytej operácie. Po prvé, inštruuje operačný systém, aby neukončil svoj proces, keď sú vydané určité príkazy, ako napríklad SIGPIPE, SIGIN alebo SIGABRT. Navyše sa premení na démona, čo mu umožňuje bežať ticho na pozadí.

Potom zadné vrátka nadviažu spojenie so serverom Command-and-Control (C2) operácie. Odošle profil stroja obete, ktorý obsahuje informácie, ako je meno používateľa, verzia operačného systému, podrobnosti o zariadení, IP adresa, MAC adresa a podporované funkcie implantátu.

Po dokončení fázy nastavenia Horse Shell trpezlivo čaká na pokyny zo servera C2. Počúva na tri špecifické príkazy:

• Spustiť vzdialený shell: Tento príkaz poskytuje aktérom hrozby úplný prístup k napadnutému zariadeniu, čo im umožňuje vykonávať príkazy a vykonávať nebezpečné aktivity.
• Vykonávanie činností prenosu súborov: Zadné vrátka uľahčujú nahrávanie a sťahovanie súborov, základnú manipuláciu so súbormi a enumeráciu adresárov, čo umožňuje aktérom hrozby manipulovať s údajmi na napadnutom zariadení.
• Spustiť tunelovanie: Horse Shell môže spustiť tunelovanie, aby zakryl cieľ a pôvod sieťovej prevádzky. Skrytím adresy servera C2 táto technika pomáha zachovať utajenie operácií útočníkov.

Výskumníci poznamenávajú, že implantát firmvéru Horse Shell nie je obmedzený na odlišný typ firmvéru, ale je agnostický s firmvérom. Preto by sa teoreticky mohol potenciálne použiť v obrazoch firmvéru pre smerovače od rôznych predajcov.

Zameranie sa na slabo zabezpečené smerovače štátom podporovanými hackermi nie je prekvapujúce. Na smerovače sa často zameriavajú botnety pre aktivity, ako sú distribuované útoky odmietnutia služby (DDoS) alebo operácie ťažby kryptomien. Tieto útoky využívajú často prehliadané bezpečnostné opatrenia smerovačov, čo umožňuje napadnutým zariadeniam slúžiť ako nenápadné spúšťacie plochy pre škodlivé aktivity a zároveň zakrývať pôvod útočníka.