Zbritje me shumë licenca
Threat Database Malware Malware i guaskës së kalit

Malware i guaskës së kalit

Nga MezoMalware, Backdoors
Përkthe në:
Shqip

Një grup hakerash i njohur si "Camaro Dragon", që besohet se është i sponsorizuar nga shteti nga Kina, është gjetur duke infektuar ruterat e banimit TP-Link me një malware të personalizuar të quajtur Horse Shell. Kjo fushatë sulmi synon veçanërisht organizatat evropiane të punëve të jashtme.

Hakerët e vendosin këtë malware të pasme përmes firmuerit të personalizuar dhe kërcënues të përshtatur për ruterat TP-Link. Duke vepruar kështu, ata mund të kryejnë sulme që duket se vijnë nga rrjetet e banimit.

Ky lloj sulmi synon rrjetet e rregullta të banimit dhe shtëpive. Prandaj, infektimi i një ruteri shtëpiak nuk tregon domosdoshmërisht se vetë pronarët e shtëpisë ishin një objektiv specifik; përkundrazi, pajisjet e tyre shërbejnë për të lehtësuar rrugën që sulmuesit të arrijnë qëllimet e tyre.

Pasi të vendoset malware, aktorët e kërcënimit fitojnë akses të plotë në pajisjen e infektuar. Kjo përfshin aftësinë për të ekzekutuar komandat e guaskës, për të ngarkuar dhe shkarkuar skedarë dhe për të përdorur ruterin si një përfaqësues SOCKS për të lehtësuar komunikimin midis pajisjeve.

Hulumtimi zbuloi implantin e firmuerit Horse Shell TP-Link në janar 2023. Ata kanë vërejtur se aktivitetet e hakerëve mbivendosen me një grup tjetër hakerimi kinez të njohur si Mustang Panda, por ata po ndjekin aktorët e kërcënimit nën emrin e veçantë Camaro Dragon.

Horse Shell vendoset nëpërmjet firmware-it të pasigurt TP-Link

Sipas gjetjeve të studiuesve të sigurisë kibernetike, sulmuesit infektojnë ruterat TP-Link duke prezantuar një imazh kërcënues të firmuerit. Kjo mund të jetë arritur duke shfrytëzuar dobësitë në softuerin e ruterit ose duke u përpjekur të hamendësojë kredencialet e administratorit përmes metodave brute-force.

Pasi aktori i kërcënimit të fitojë akses administrativ në ndërfaqen e menaxhimit të ruterit, ata kanë aftësinë të përditësojnë në distancë pajisjen me imazhin e personalizuar të firmuerit që përmban malware-in Horse Shell.

Dy mostra të imazheve të firmuerit të trojanizuar të krijuara posaçërisht për ruterat TP-Link janë zbuluar deri më tani. Këto versione të dëmshme të firmuerit përmbajnë modifikime dhe shtesa të shumta në skedarët origjinalë.

Duke krahasuar firmware-in e manipuluar TP-Link me një version të ligjshëm, ekspertët zbuluan se seksionet e kernelit dhe uBoot ishin identike. Sidoqoftë, firmware-i i pasigurt përfshinte një sistem skedarësh të personalizuar SquashFS që përmbante përbërës shtesë të skedarëve të korruptuar të lidhur me implantin e dyerve të pasme të Horse Shell. Për më tepër, firmware-i i pasigurt ndryshon gjithashtu panelin e uebit të menaxhimit, duke parandaluar në mënyrë efektive pronarin e pajisjes të ndezë një imazh të ri firmware në ruter si dhe duke siguruar qëndrueshmërinë e infeksionit.

Aftësitë e dëmshme të implantit të guaskës së kalit

Pasi të aktivizohet implanti i dyerve të pasme Horse Shell, ai përdor disa teknika për të siguruar qëndrueshmërinë dhe funksionimin e fshehtë. Së pari, ai udhëzon sistemin operativ që të mos e ndërpresë procesin e tij kur lëshohen komanda të caktuara, si SIGPIPE, SIGIN ose SIGABRT. Për më tepër, ai shndërrohet në një demon, duke e lejuar atë të funksionojë në heshtje në sfond.

Më pas, porta e pasme krijon një lidhje me serverin Command-and-Control (C2) të operacionit. Ai dërgon profilin e makinës së viktimës, i cili përfshin informacione të tilla si emri i përdoruesit, versioni i sistemit operativ, detajet e pajisjes, adresa IP, adresa MAC dhe veçoritë e mbështetura të implantit.

Pasi ka përfunduar fazën e konfigurimit, Horse Shell pret me durim udhëzimet nga serveri C2. Ai dëgjon për tre komanda specifike:

  • Nis një guaskë në distancë: Kjo komandë u jep aktorëve të kërcënimit akses të plotë në pajisjen e komprometuar, duke u mundësuar atyre të ekzekutojnë komanda dhe të kryejnë aktivitete të pasigurta.
  • Kryerja e aktiviteteve të transferimit të skedarëve: Backdoor lehtëson ngarkimin dhe shkarkimin e skedarëve, manipulimin bazë të skedarëve dhe numërimin e drejtorive, duke i lejuar aktorët e kërcënimit të manipulojnë të dhënat në pajisjen e komprometuar.
  • Fillimi i tunelit: Horse Shell mund të inicojë tunelimin për të errësuar destinacionin dhe origjinën e trafikut të rrjetit. Duke fshehur adresën e serverit C2, kjo teknikë ndihmon në ruajtjen e fshehtësisë së operacioneve të sulmuesve.

Studiuesit vërejnë se implanti i firmuerit Horse Shell nuk është i kufizuar në një lloj të veçantë firmware, por është agnostik ndaj firmuerit. Prandaj, në teori, ai mund të përdoret potencialisht në imazhet e firmuerit për ruterat nga shitës të ndryshëm.

Synimi i ruterave të siguruar keq nga hakerat e sponsorizuar nga shteti nuk është befasues. Routerët shpesh janë në shënjestër nga botnet-et për aktivitete si sulmet e shpërndara të mohimit të shërbimit (DDoS) ose operacionet e kripto-minimit. Këto sulme përfitojnë nga masat e sigurisë të anashkaluara shpesh të ruterëve, duke lejuar pajisjet e komprometuara të shërbejnë si platforma lëshimi që nuk bien në sy për aktivitete të dëmshme, ndërsa errësojnë origjinën e sulmuesit.

Në trend

Më e shikuara

Po ngarkohet...