Malware i guaskës së kalit
Një grup hakerash i njohur si "Camaro Dragon", që besohet se është i sponsorizuar nga shteti nga Kina, është gjetur duke infektuar ruterat e banimit TP-Link me një malware të personalizuar të quajtur Horse Shell. Kjo fushatë sulmi synon veçanërisht organizatat evropiane të punëve të jashtme.
Hakerët e vendosin këtë malware të pasme përmes firmuerit të personalizuar dhe kërcënues të përshtatur për ruterat TP-Link. Duke vepruar kështu, ata mund të kryejnë sulme që duket se vijnë nga rrjetet e banimit.
Ky lloj sulmi synon rrjetet e rregullta të banimit dhe shtëpive. Prandaj, infektimi i një ruteri shtëpiak nuk tregon domosdoshmërisht se vetë pronarët e shtëpisë ishin një objektiv specifik; përkundrazi, pajisjet e tyre shërbejnë për të lehtësuar rrugën që sulmuesit të arrijnë qëllimet e tyre.
Pasi të vendoset malware, aktorët e kërcënimit fitojnë akses të plotë në pajisjen e infektuar. Kjo përfshin aftësinë për të ekzekutuar komandat e guaskës, për të ngarkuar dhe shkarkuar skedarë dhe për të përdorur ruterin si një përfaqësues SOCKS për të lehtësuar komunikimin midis pajisjeve.
Hulumtimi zbuloi implantin e firmuerit Horse Shell TP-Link në janar 2023. Ata kanë vërejtur se aktivitetet e hakerëve mbivendosen me një grup tjetër hakerimi kinez të njohur si Mustang Panda, por ata po ndjekin aktorët e kërcënimit nën emrin e veçantë Camaro Dragon.
Horse Shell vendoset nëpërmjet firmware-it të pasigurt TP-Link
Sipas gjetjeve të studiuesve të sigurisë kibernetike, sulmuesit infektojnë ruterat TP-Link duke prezantuar një imazh kërcënues të firmuerit. Kjo mund të jetë arritur duke shfrytëzuar dobësitë në softuerin e ruterit ose duke u përpjekur të hamendësojë kredencialet e administratorit përmes metodave brute-force.
Pasi aktori i kërcënimit të fitojë akses administrativ në ndërfaqen e menaxhimit të ruterit, ata kanë aftësinë të përditësojnë në distancë pajisjen me imazhin e personalizuar të firmuerit që përmban malware-in Horse Shell.
Dy mostra të imazheve të firmuerit të trojanizuar të krijuara posaçërisht për ruterat TP-Link janë zbuluar deri më tani. Këto versione të dëmshme të firmuerit përmbajnë modifikime dhe shtesa të shumta në skedarët origjinalë.
Duke krahasuar firmware-in e manipuluar TP-Link me një version të ligjshëm, ekspertët zbuluan se seksionet e kernelit dhe uBoot ishin identike. Sidoqoftë, firmware-i i pasigurt përfshinte një sistem skedarësh të personalizuar SquashFS që përmbante përbërës shtesë të skedarëve të korruptuar të lidhur me implantin e dyerve të pasme të Horse Shell. Për më tepër, firmware-i i pasigurt ndryshon gjithashtu panelin e uebit të menaxhimit, duke parandaluar në mënyrë efektive pronarin e pajisjes të ndezë një imazh të ri firmware në ruter si dhe duke siguruar qëndrueshmërinë e infeksionit.
Aftësitë e dëmshme të implantit të guaskës së kalit
Pasi të aktivizohet implanti i dyerve të pasme Horse Shell, ai përdor disa teknika për të siguruar qëndrueshmërinë dhe funksionimin e fshehtë. Së pari, ai udhëzon sistemin operativ që të mos e ndërpresë procesin e tij kur lëshohen komanda të caktuara, si SIGPIPE, SIGIN ose SIGABRT. Për më tepër, ai shndërrohet në një demon, duke e lejuar atë të funksionojë në heshtje në sfond.
Më pas, porta e pasme krijon një lidhje me serverin Command-and-Control (C2) të operacionit. Ai dërgon profilin e makinës së viktimës, i cili përfshin informacione të tilla si emri i përdoruesit, versioni i sistemit operativ, detajet e pajisjes, adresa IP, adresa MAC dhe veçoritë e mbështetura të implantit.
Pasi ka përfunduar fazën e konfigurimit, Horse Shell pret me durim udhëzimet nga serveri C2. Ai dëgjon për tre komanda specifike:
- Nis një guaskë në distancë: Kjo komandë u jep aktorëve të kërcënimit akses të plotë në pajisjen e komprometuar, duke u mundësuar atyre të ekzekutojnë komanda dhe të kryejnë aktivitete të pasigurta.
- Kryerja e aktiviteteve të transferimit të skedarëve: Backdoor lehtëson ngarkimin dhe shkarkimin e skedarëve, manipulimin bazë të skedarëve dhe numërimin e drejtorive, duke i lejuar aktorët e kërcënimit të manipulojnë të dhënat në pajisjen e komprometuar.
- Fillimi i tunelit: Horse Shell mund të inicojë tunelimin për të errësuar destinacionin dhe origjinën e trafikut të rrjetit. Duke fshehur adresën e serverit C2, kjo teknikë ndihmon në ruajtjen e fshehtësisë së operacioneve të sulmuesve.
Studiuesit vërejnë se implanti i firmuerit Horse Shell nuk është i kufizuar në një lloj të veçantë firmware, por është agnostik ndaj firmuerit. Prandaj, në teori, ai mund të përdoret potencialisht në imazhet e firmuerit për ruterat nga shitës të ndryshëm.
Synimi i ruterave të siguruar keq nga hakerat e sponsorizuar nga shteti nuk është befasues. Routerët shpesh janë në shënjestër nga botnet-et për aktivitete si sulmet e shpërndara të mohimit të shërbimit (DDoS) ose operacionet e kripto-minimit. Këto sulme përfitojnë nga masat e sigurisë të anashkaluara shpesh të ruterëve, duke lejuar pajisjet e komprometuara të shërbejnë si platforma lëshimi që nuk bien në sy për aktivitete të dëmshme, ndërsa errësojnë origjinën e sulmuesit.