హార్స్ షెల్ మాల్వేర్

"కమారో డ్రాగన్" అని పిలవబడే హ్యాకింగ్ గ్రూప్, చైనా ద్వారా రాష్ట్ర-ప్రాయోజితమైనదిగా భావించబడుతుంది, హార్స్ షెల్ అనే కస్టమ్ మాల్వేర్‌తో రెసిడెన్షియల్ TP-Link రూటర్‌లకు సోకినట్లు కనుగొనబడింది. ఈ దాడి ప్రచారం ప్రత్యేకంగా యూరోపియన్ విదేశీ వ్యవహారాల సంస్థలను లక్ష్యంగా చేసుకుంది.

హ్యాకర్లు ఈ బ్యాక్‌డోర్ మాల్వేర్‌ను TP-Link రూటర్‌ల కోసం రూపొందించిన అనుకూలీకరించిన మరియు బెదిరింపు ఫర్మ్‌వేర్ ద్వారా అమలు చేస్తారు. అలా చేయడం ద్వారా, వారు నివాస నెట్‌వర్క్‌ల నుండి ఉద్భవించినట్లు కనిపించే దాడులను నిర్వహించగలరు.

ఈ రకమైన దాడి సాధారణ నివాస మరియు ఇంటి నెట్‌వర్క్‌లను లక్ష్యంగా చేసుకుంటుంది. అందువల్ల, ఇంటి రౌటర్ యొక్క ఇన్ఫెక్షన్ తప్పనిసరిగా గృహయజమానులు తాము ఒక నిర్దిష్ట లక్ష్యం అని సూచించదు; బదులుగా, దాడి చేసేవారు తమ లక్ష్యాలను సాధించే మార్గాన్ని సులభతరం చేసేందుకు వారి పరికరాలు ఉపయోగపడతాయి.

మాల్వేర్ అమలు చేయబడిన తర్వాత, ముప్పు నటులు సోకిన పరికరానికి పూర్తి ప్రాప్యతను పొందుతారు. షెల్ ఆదేశాలను అమలు చేయడం, ఫైల్‌లను అప్‌లోడ్ చేయడం మరియు డౌన్‌లోడ్ చేయడం మరియు పరికరాల మధ్య కమ్యూనికేషన్‌ను సులభతరం చేయడానికి రూటర్‌ని SOCKS ప్రాక్సీగా ఉపయోగించుకునే సామర్థ్యం ఇందులో ఉంటుంది.

పరిశోధన జనవరి 2023లో హార్స్ షెల్ TP-లింక్ ఫర్మ్‌వేర్ ఇంప్లాంట్‌ను కనుగొంది. హ్యాకర్ల కార్యకలాపాలు ముస్తాంగ్ పాండా అని పిలువబడే మరొక చైనీస్ హ్యాకింగ్ గ్రూప్‌తో అతివ్యాప్తి చెందడాన్ని వారు గమనించారు, అయితే వారు ప్రత్యేక కమారో డ్రాగన్ పేరుతో బెదిరింపు నటులను ట్రాక్ చేస్తున్నారు.

హార్స్ షెల్ అసురక్షిత TP-లింక్ ఫర్మ్‌వేర్ ద్వారా అమలు చేయబడుతుంది

సైబర్ సెక్యూరిటీ పరిశోధకుల పరిశోధనల ప్రకారం, దాడి చేసేవారు TP-Link రూటర్‌లను బెదిరింపు ఫర్మ్‌వేర్ చిత్రాన్ని పరిచయం చేయడం ద్వారా సోకారు. రౌటర్ యొక్క సాఫ్ట్‌వేర్‌లోని దుర్బలత్వాలను ఉపయోగించడం ద్వారా లేదా బ్రూట్-ఫోర్స్ పద్ధతుల ద్వారా నిర్వాహకుని ఆధారాలను అంచనా వేయడానికి ప్రయత్నించడం ద్వారా ఇది సాధించబడి ఉండవచ్చు.

బెదిరింపు నటుడు రౌటర్ యొక్క నిర్వహణ ఇంటర్‌ఫేస్‌కు అడ్మినిస్ట్రేటివ్ యాక్సెస్‌ను పొందిన తర్వాత, హార్స్ షెల్ మాల్వేర్‌ను కలిగి ఉన్న అనుకూల ఫర్మ్‌వేర్ ఇమేజ్‌తో పరికరాన్ని రిమోట్‌గా అప్‌డేట్ చేసే సామర్థ్యాన్ని వారు కలిగి ఉంటారు.

TP-Link రూటర్‌ల కోసం ప్రత్యేకంగా రూపొందించబడిన ట్రోజనైజ్డ్ ఫర్మ్‌వేర్ చిత్రాల యొక్క రెండు నమూనాలు ఇప్పటివరకు కనుగొనబడ్డాయి. ఈ హానికరమైన ఫర్మ్‌వేర్ సంస్కరణలు అసలైన ఫైల్‌లకు విస్తృతమైన మార్పులు మరియు చేర్పులను కలిగి ఉంటాయి.

తారుమారు చేయబడిన TP-Link ఫర్మ్‌వేర్‌ను చట్టబద్ధమైన సంస్కరణతో పోల్చడంలో, నిపుణులు కెర్నల్ మరియు uBoot విభాగాలు ఒకేలా ఉన్నాయని కనుగొన్నారు. అయినప్పటికీ, అసురక్షిత ఫర్మ్‌వేర్ కస్టమ్ స్క్వాష్‌ఎఫ్‌ఎస్ ఫైల్‌సిస్టమ్‌ను కలిగి ఉంది, ఇది హార్స్ షెల్ బ్యాక్‌డోర్ ఇంప్లాంట్‌తో అనుబంధించబడిన అదనపు పాడైన ఫైల్ భాగాలను కలిగి ఉంది. ఇంకా, అసురక్షిత ఫర్మ్‌వేర్ మేనేజ్‌మెంట్ వెబ్ ప్యానెల్‌ను కూడా మారుస్తుంది, పరికర యజమాని కొత్త ఫర్మ్‌వేర్ ఇమేజ్‌ని రూటర్‌పై ఫ్లాషింగ్ చేయకుండా అలాగే ఇన్‌ఫెక్షన్ యొక్క నిలకడను నిర్ధారిస్తుంది.

హార్స్ షెల్ ఇంప్లాంట్ యొక్క హానికరమైన సామర్థ్యాలు

హార్స్ షెల్ బ్యాక్‌డోర్ ఇంప్లాంట్ యాక్టివేట్ అయిన తర్వాత, దాని నిలకడ మరియు రహస్య ఆపరేషన్‌ను నిర్ధారించడానికి ఇది అనేక పద్ధతులను ఉపయోగిస్తుంది. ముందుగా, SIGPIPE, SIGIN లేదా SIGABRT వంటి నిర్దిష్ట ఆదేశాలు జారీ చేయబడినప్పుడు దాని ప్రక్రియను ముగించవద్దని ఇది ఆపరేటింగ్ సిస్టమ్‌కు నిర్దేశిస్తుంది. అదనంగా, ఇది తనను తాను డెమోన్‌గా మారుస్తుంది, ఇది నేపథ్యంలో నిశ్శబ్దంగా అమలు చేయడానికి అనుమతిస్తుంది.

తరువాత, బ్యాక్‌డోర్ ఆపరేషన్ యొక్క కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌తో కనెక్షన్‌ను ఏర్పాటు చేస్తుంది. ఇది వినియోగదారు పేరు, ఆపరేటింగ్ సిస్టమ్ వెర్షన్, పరికర వివరాలు, IP చిరునామా, MAC చిరునామా మరియు ఇంప్లాంట్ యొక్క మద్దతు ఉన్న ఫీచర్‌ల వంటి సమాచారాన్ని కలిగి ఉన్న బాధితుడి మెషీన్ ప్రొఫైల్‌ను పంపుతుంది.

సెటప్ దశను పూర్తి చేసిన తర్వాత, హార్స్ షెల్ ఓపికగా C2 సర్వర్ నుండి సూచనల కోసం వేచి ఉంది. ఇది మూడు నిర్దిష్ట ఆదేశాలను వింటుంది:

• రిమోట్ షెల్‌ను ప్రారంభించండి: ఈ కమాండ్ ముప్పు నటులకు రాజీపడిన పరికరానికి పూర్తి ప్రాప్యతను మంజూరు చేస్తుంది, ఆదేశాలను అమలు చేయడానికి మరియు అసురక్షిత కార్యకలాపాలను నిర్వహించడానికి వీలు కల్పిస్తుంది.
• ఫైల్ బదిలీ కార్యకలాపాలను నిర్వహించండి: బ్యాక్‌డోర్ ఫైల్‌లను అప్‌లోడ్ చేయడం మరియు డౌన్‌లోడ్ చేయడం, ప్రాథమిక ఫైల్ మానిప్యులేషన్ మరియు డైరెక్టరీ ఎన్యూమరేషన్‌ను సులభతరం చేస్తుంది, ఇది రాజీపడిన పరికరంలో డేటాను మార్చడానికి ముప్పు నటులను అనుమతిస్తుంది.
• టన్నెలింగ్ ప్రారంభించండి: నెట్‌వర్క్ ట్రాఫిక్ యొక్క గమ్యం మరియు మూలాన్ని అస్పష్టం చేయడానికి హార్స్ షెల్ టన్నెలింగ్‌ను ప్రారంభించగలదు. C2 సర్వర్ చిరునామాను దాచడం ద్వారా, ఈ టెక్నిక్ దాడి చేసేవారి కార్యకలాపాల యొక్క దొంగతనాన్ని నిర్వహించడానికి సహాయపడుతుంది.

హార్స్ షెల్ ఫర్మ్‌వేర్ ఇంప్లాంట్ ఒక ప్రత్యేకమైన ఫర్మ్‌వేర్‌కు మాత్రమే పరిమితం కాకుండా ఫర్మ్‌వేర్-అజ్ఞాతవాసి అని పరిశోధకులు గమనించారు. అందువల్ల, సిద్ధాంతపరంగా, ఇది వివిధ విక్రేతల నుండి రౌటర్ల కోసం ఫర్మ్‌వేర్ చిత్రాలలో సమర్థవంతంగా ఉపయోగించబడుతుంది.

రాష్ట్ర-ప్రాయోజిత హ్యాకర్లు పేలవమైన సురక్షితమైన రూటర్‌లను లక్ష్యంగా చేసుకోవడంలో ఆశ్చర్యం లేదు. పంపిణీ తిరస్కరణ (DDoS) దాడులు లేదా క్రిప్టో-మైనింగ్ కార్యకలాపాల వంటి కార్యకలాపాల కోసం రౌటర్‌లు తరచుగా బోట్‌నెట్‌లచే లక్ష్యంగా ఉంటాయి. ఈ దాడులు రౌటర్లు తరచుగా పట్టించుకోని భద్రతా చర్యల ప్రయోజనాన్ని పొందుతాయి, దాడి చేసేవారి మూలాన్ని అస్పష్టం చేస్తూ హానికరమైన కార్యకలాపాల కోసం రాజీపడిన పరికరాలు అస్పష్టమైన లాంచ్‌ప్యాడ్‌లుగా పనిచేయడానికి వీలు కల్పిస్తాయి.