Zlonamerna programska oprema Horse Shell

Hekerska skupina, znana kot "Camaro Dragon", ki naj bi jo sponzorirala država Kitajska, je bila ugotovljena, da okužuje stanovanjske usmerjevalnike TP-Link z zlonamerno programsko opremo po meri, imenovano Horse Shell. Ta napadalna kampanja je posebej usmerjena na evropske organizacije za zunanje zadeve.

Hekerji uvedejo to zlonamerno programsko opremo za zakulisna vrata prek prilagojene in grozeče vdelane programske opreme, prilagojene usmerjevalnikom TP-Link. S tem lahko izvedejo napade, za katere se zdi, da izvirajo iz stanovanjskih omrežij.

Ta vrsta napada cilja na običajna stanovanjska in domača omrežja. Zato okužba domačega usmerjevalnika ne pomeni nujno, da so bili lastniki stanovanj sami specifična tarča; namesto tega njihove naprave služijo temu, da napadalcem olajšajo pot do doseganja njihovih ciljev.

Ko je zlonamerna programska oprema uvedena, akterji grožnje dobijo popoln dostop do okužene naprave. To vključuje zmožnost izvajanja ukazov lupine, nalaganja in prenosa datotek ter uporabe usmerjevalnika kot posrednika SOCKS za olajšanje komunikacije med napravami.

Raziskava je odkrila vdelano programsko opremo Horse Shell TP-Link januarja 2023. Opazili so, da se dejavnosti hekerjev prekrivajo z drugo kitajsko hekersko skupino, znano kot Mustang Panda, vendar akterje groženj spremljajo pod ločenim imenom Camaro Dragon.

Horse Shell je nameščen prek nevarne vdelane programske opreme TP-Link

Po ugotovitvah raziskovalcev kibernetske varnosti napadalci okužijo usmerjevalnike TP-Link z vnosom nevarne slike vdelane programske opreme. To je bilo morda doseženo z izkoriščanjem ranljivosti v programski opremi usmerjevalnika ali s poskusom uganjanja skrbniških poverilnic z metodami surove sile.

Ko povzročitelj grožnje pridobi skrbniški dostop do vmesnika za upravljanje usmerjevalnika, lahko na daljavo posodobi napravo s sliko vdelane programske opreme po meri, ki vsebuje zlonamerno programsko opremo Horse Shell.

Doslej sta bila odkrita dva vzorca slik trojanizirane vdelane programske opreme, posebej zasnovanih za usmerjevalnike TP-Link. Te škodljive različice vdelane programske opreme vsebujejo obsežne spremembe in dodatke k izvirnim datotekam.

Pri primerjavi spremenjene vdelane programske opreme TP-Link z zakonito različico so strokovnjaki ugotovili, da sta razdelka jedra in uBoot enaka. Vendar je vdelana programska oprema, ki ni varna, vključevala datotečni sistem po meri SquashFS, ki je vseboval dodatne poškodovane datotečne komponente, povezane z zakulisnim vsadkom Horse Shell. Poleg tega nevarna vdelana programska oprema spremeni tudi spletno ploščo za upravljanje, s čimer lastniku naprave dejansko prepreči, da bi v usmerjevalnik vnesel novo sliko vdelane programske opreme, in zagotovi obstojnost okužbe.

Škodljive lastnosti vsadka konjske školjke

Ko je vsadek za zadnja vrata Horse Shell aktiviran, uporablja več tehnik za zagotovitev njegove obstojnosti in prikritega delovanja. Prvič, operacijskemu sistemu naroči, naj ne prekine svojega procesa, ko so izdani določeni ukazi, kot so SIGPIPE, SIGIN ali SIGABRT. Poleg tega se pretvori v demona, ki mu omogoča tiho delovanje v ozadju.

Nato backdoor vzpostavi povezavo s strežnikom Command-and-Control (C2) operacije. Pošlje profil stroja žrtve, ki vključuje informacije, kot so uporabniško ime, različica operacijskega sistema, podrobnosti o napravi, naslov IP, naslov MAC in podprte funkcije vsadka.

Ko končate fazo namestitve, Horse Shell potrpežljivo čaka na navodila s strežnika C2. Posluša tri posebne ukaze:

• Zaženi oddaljeno ukazno lupino: Ta ukaz akterjem grožnje podeli popoln dostop do ogrožene naprave, kar jim omogoča izvajanje ukazov in izvajanje nevarnih dejavnosti.
• Izvedite dejavnosti prenosa datotek: Backdoor olajša nalaganje in prenašanje datotek, osnovno manipulacijo datotek in oštevilčenje imenikov, kar omogoča akterjem groženj, da manipulirajo s podatki na ogroženi napravi.
• Začni tuneliranje: Horse Shell lahko sproži tuneliranje, da prikrije cilj in izvor omrežnega prometa. S skrivanjem naslova strežnika C2 ta tehnika pomaga ohranjati prikritost operacij napadalcev.

Raziskovalci ugotavljajo, da vsadek vdelane programske opreme Horse Shell ni omejen na ločeno vrsto vdelane programske opreme, ampak je neodvisen od vdelane programske opreme. Zato bi ga teoretično lahko uporabili v slikah vdelane programske opreme za usmerjevalnike različnih proizvajalcev.

Ciljanje slabo zavarovanih usmerjevalnikov s strani državno sponzoriranih hekerjev ni presenetljivo. Usmerjevalniki so pogosto tarča botnetov zaradi dejavnosti, kot so porazdeljeni napadi zavrnitve storitve (DDoS) ali operacije kripto rudarjenja. Ti napadi izkoriščajo pogosto spregledane varnostne ukrepe usmerjevalnikov in omogočajo, da ogrožene naprave služijo kot neopazne lansirne plošče za škodljive dejavnosti, hkrati pa prikrijejo izvor napadalca.