ஹார்ஸ் ஷெல் மால்வேர்
"கேமரோ டிராகன்" என்று அழைக்கப்படும் ஹேக்கிங் குழு, சீனாவால் அரசால் வழங்கப்பட்டதாக நம்பப்படுகிறது, ஹார்ஸ் ஷெல் எனப்படும் தனிப்பயன் தீம்பொருளால் குடியிருப்பு TP-Link ரவுட்டர்களை பாதிக்கிறது. இந்த தாக்குதல் பிரச்சாரம் குறிப்பாக ஐரோப்பிய வெளியுறவு அமைப்புகளை இலக்காகக் கொண்டது.
TP-Link ரவுட்டர்களுக்கு ஏற்றவாறு தனிப்பயனாக்கப்பட்ட மற்றும் அச்சுறுத்தும் ஃபார்ம்வேர் மூலம் ஹேக்கர்கள் இந்த பின்கதவு தீம்பொருளைப் பயன்படுத்துகின்றனர். அவ்வாறு செய்வதன் மூலம், குடியிருப்பு நெட்வொர்க்குகளில் இருந்து தோன்றிய தாக்குதல்களை அவர்கள் மேற்கொள்ளலாம்.
இந்த வகையான தாக்குதல் வழக்கமான குடியிருப்பு மற்றும் வீட்டு நெட்வொர்க்குகளை குறிவைக்கிறது. எனவே, வீட்டு திசைவியின் தொற்று, வீட்டு உரிமையாளர்கள் ஒரு குறிப்பிட்ட இலக்காக இருந்ததைக் குறிக்க வேண்டிய அவசியமில்லை; மாறாக, அவர்களின் சாதனங்கள் தாக்குபவர்கள் தங்கள் இலக்குகளை அடைவதற்கான வழியை எளிதாக்குகின்றன.
தீம்பொருள் பயன்படுத்தப்பட்டவுடன், அச்சுறுத்தல் நடிகர்கள் பாதிக்கப்பட்ட சாதனத்திற்கான முழுமையான அணுகலைப் பெறுவார்கள். ஷெல் கட்டளைகளைச் செயல்படுத்துதல், கோப்புகளைப் பதிவேற்றுதல் மற்றும் பதிவிறக்குதல் மற்றும் சாதனங்களுக்கிடையேயான தொடர்புகளை எளிதாக்க ரூட்டரை SOCKS ப்ராக்ஸியாகப் பயன்படுத்துதல் ஆகியவை இதில் அடங்கும்.
ஜனவரி 2023 இல் Horse Shell TP-Link firmware implant ஐ ஆராய்ச்சி கண்டுபிடித்தது. மஸ்டாங் பாண்டா எனப்படும் மற்றொரு சீன ஹேக்கிங் குழுவுடன் ஹேக்கர்களின் செயல்பாடுகள் ஒன்றுடன் ஒன்று இருப்பதை அவர்கள் கவனித்தனர்.
பாதுகாப்பற்ற TP-Link Firmware வழியாக குதிரை ஓடு பயன்படுத்தப்படுகிறது
சைபர் செக்யூரிட்டி ஆராய்ச்சியாளர்களின் கண்டுபிடிப்புகளின்படி, தாக்குபவர்கள் அச்சுறுத்தும் ஃபார்ம்வேர் படத்தை அறிமுகப்படுத்துவதன் மூலம் TP-Link ரவுட்டர்களைப் பாதிக்கிறார்கள். திசைவியின் மென்பொருளில் உள்ள பாதிப்புகளைப் பயன்படுத்தி அல்லது முரட்டுத்தனமான முறைகள் மூலம் நிர்வாகியின் நற்சான்றிதழ்களை யூகிக்க முயற்சிப்பதன் மூலம் இது அடையப்பட்டிருக்கலாம்.
அச்சுறுத்தல் நடிகர் ரூட்டரின் மேலாண்மை இடைமுகத்திற்கு நிர்வாக அணுகலைப் பெற்றவுடன், ஹார்ஸ் ஷெல் மால்வேரைக் கொண்ட தனிப்பயன் ஃபார்ம்வேர் படத்துடன் சாதனத்தை தொலைவிலிருந்து புதுப்பிக்கும் திறன் அவர்களுக்கு உள்ளது.
TP-Link ரவுட்டர்களுக்காக வடிவமைக்கப்பட்ட ட்ரோஜனேற்றப்பட்ட ஃபார்ம்வேர் படங்களின் இரண்டு மாதிரிகள் இதுவரை கண்டுபிடிக்கப்பட்டுள்ளன. இந்த தீங்கு விளைவிக்கும் ஃபார்ம்வேர் பதிப்புகள் அசல் கோப்புகளில் விரிவான மாற்றங்களையும் சேர்த்தல்களையும் கொண்டிருக்கின்றன.
சிதைந்த TP-Link firmware ஐ முறையான பதிப்போடு ஒப்பிடுகையில், கர்னல் மற்றும் uBoot பிரிவுகள் ஒரே மாதிரியாக இருப்பதை நிபுணர்கள் கண்டறிந்தனர். இருப்பினும், பாதுகாப்பற்ற ஃபார்ம்வேர் தனிப்பயன் SquashFS கோப்பு முறைமையை உள்ளடக்கியது, அதில் ஹார்ஸ் ஷெல் பின்கதவு உள்வைப்புடன் தொடர்புடைய கூடுதல் சிதைந்த கோப்பு கூறுகள் உள்ளன. மேலும், பாதுகாப்பற்ற ஃபார்ம்வேர் மேனேஜ்மென்ட் வெப் பேனலையும் மாற்றுகிறது, சாதன உரிமையாளரை ரூட்டரில் புதிய ஃபார்ம்வேர் படத்தை ஒளிரவிடாமல் தடுக்கிறது மற்றும் நோய்த்தொற்றின் நிலைத்தன்மையை உறுதி செய்கிறது.
குதிரை ஷெல் உள்வைப்பின் தீங்கு விளைவிக்கும் திறன்கள்
குதிரை ஷெல் பின்கதவு உள்வைப்பு செயல்படுத்தப்பட்டவுடன், அதன் நிலைத்தன்மை மற்றும் இரகசிய செயல்பாட்டை உறுதிப்படுத்த பல நுட்பங்களைப் பயன்படுத்துகிறது. முதலாவதாக, SIGPIPE, SIGIN அல்லது SIGABRT போன்ற சில கட்டளைகள் வழங்கப்படும் போது அதன் செயல்முறையை நிறுத்த வேண்டாம் என்று இயக்க முறைமைக்கு அறிவுறுத்துகிறது. கூடுதலாக, அது தன்னை ஒரு டீமானாக மாற்றுகிறது, இது பின்னணியில் அமைதியாக இயங்க அனுமதிக்கிறது.
அடுத்து, பின்கதவு செயல்பாட்டின் கட்டளை மற்றும் கட்டுப்பாடு (C2) சேவையகத்துடன் ஒரு இணைப்பை நிறுவுகிறது. இது பாதிக்கப்பட்டவரின் இயந்திர சுயவிவரத்தை அனுப்புகிறது, இதில் பயனர் பெயர், இயக்க முறைமை பதிப்பு, சாதன விவரங்கள், IP முகவரி, MAC முகவரி மற்றும் உள்வைப்பின் ஆதரவு அம்சங்கள் போன்ற தகவல்கள் அடங்கும்.
அமைவு கட்டத்தை முடித்து, Horse Shell பொறுமையாக C2 சர்வரிலிருந்து வரும் வழிமுறைகளுக்காக காத்திருக்கிறது. இது மூன்று குறிப்பிட்ட கட்டளைகளைக் கேட்கிறது:
- ரிமோட் ஷெல்லைத் தொடங்கவும்: இந்த கட்டளை அச்சுறுத்தல் செயல்பாட்டாளர்களுக்கு சமரசம் செய்யப்பட்ட சாதனத்திற்கான முழுமையான அணுகலை வழங்குகிறது, இது கட்டளைகளை செயல்படுத்தவும் பாதுகாப்பற்ற செயல்களைச் செய்யவும் அவர்களுக்கு உதவுகிறது.
- கோப்பு பரிமாற்ற நடவடிக்கைகளைச் செய்யவும்: பின்கதவு கோப்புகளை பதிவேற்றம் மற்றும் பதிவிறக்கம், அடிப்படை கோப்பு கையாளுதல் மற்றும் கோப்பக கணக்கீடு ஆகியவற்றை எளிதாக்குகிறது, இது சமரசம் செய்யப்பட்ட சாதனத்தில் தரவை கையாள அச்சுறுத்தல் நடிகர்களை அனுமதிக்கிறது.
- சுரங்கப்பாதையைத் தொடங்கவும்: ஹார்ஸ் ஷெல் நெட்வொர்க் ட்ராஃபிக்கின் இலக்கையும் தோற்றத்தையும் தெளிவுபடுத்துவதற்காக சுரங்கப்பாதையைத் தொடங்கலாம். C2 சேவையக முகவரியை மறைப்பதன் மூலம், தாக்குபவர்களின் செயல்பாடுகளின் திருட்டுத்தனத்தை பராமரிக்க இந்த நுட்பம் உதவுகிறது.
ஹார்ஸ் ஷெல் ஃபார்ம்வேர் உள்வைப்பு ஒரு தனித்துவமான ஃபார்ம்வேருக்கு மட்டுப்படுத்தப்படவில்லை, ஆனால் ஃபார்ம்வேர்-அஞ்ஞானம் என்று ஆராய்ச்சியாளர்கள் குறிப்பிடுகின்றனர். எனவே, கோட்பாட்டில், இது பல்வேறு விற்பனையாளர்களிடமிருந்து திசைவிகளுக்கான ஃபார்ம்வேர் படங்களில் பயன்படுத்தப்படலாம்.
மோசமான பாதுகாப்பற்ற ரவுட்டர்களை அரசு ஸ்பான்சர் செய்யப்பட்ட ஹேக்கர்கள் இலக்கு வைப்பதில் ஆச்சரியமில்லை. விநியோகிக்கப்பட்ட சேவை மறுப்பு (DDoS) தாக்குதல்கள் அல்லது கிரிப்டோ-மைனிங் செயல்பாடுகள் போன்ற செயல்களுக்காக திசைவிகள் பெரும்பாலும் போட்நெட்களால் குறிவைக்கப்படுகின்றன. இந்த தாக்குதல்கள் ரவுட்டர்களின் அடிக்கடி கவனிக்கப்படாத பாதுகாப்பு நடவடிக்கைகளை சாதகமாக்குகின்றன, சமரசம் செய்யப்பட்ட சாதனங்கள் தாக்குபவர்களின் தோற்றத்தை மறைக்கும் அதே வேளையில் தீங்கிழைக்கும் செயல்களுக்கு தெளிவற்ற ஏவுதளங்களாக செயல்பட அனுமதிக்கிறது.
