హార్స్ షెల్ మాల్వేర్
"కమారో డ్రాగన్" అని పిలవబడే హ్యాకింగ్ గ్రూప్, చైనా ద్వారా రాష్ట్ర-ప్రాయోజితమైనదిగా భావించబడుతుంది, హార్స్ షెల్ అనే కస్టమ్ మాల్వేర్తో రెసిడెన్షియల్ TP-Link రూటర్లకు సోకినట్లు కనుగొనబడింది. ఈ దాడి ప్రచారం ప్రత్యేకంగా యూరోపియన్ విదేశీ వ్యవహారాల సంస్థలను లక్ష్యంగా చేసుకుంది.
హ్యాకర్లు ఈ బ్యాక్డోర్ మాల్వేర్ను TP-Link రూటర్ల కోసం రూపొందించిన అనుకూలీకరించిన మరియు బెదిరింపు ఫర్మ్వేర్ ద్వారా అమలు చేస్తారు. అలా చేయడం ద్వారా, వారు నివాస నెట్వర్క్ల నుండి ఉద్భవించినట్లు కనిపించే దాడులను నిర్వహించగలరు.
ఈ రకమైన దాడి సాధారణ నివాస మరియు ఇంటి నెట్వర్క్లను లక్ష్యంగా చేసుకుంటుంది. అందువల్ల, ఇంటి రౌటర్ యొక్క ఇన్ఫెక్షన్ తప్పనిసరిగా గృహయజమానులు తాము ఒక నిర్దిష్ట లక్ష్యం అని సూచించదు; బదులుగా, దాడి చేసేవారు తమ లక్ష్యాలను సాధించే మార్గాన్ని సులభతరం చేసేందుకు వారి పరికరాలు ఉపయోగపడతాయి.
మాల్వేర్ అమలు చేయబడిన తర్వాత, ముప్పు నటులు సోకిన పరికరానికి పూర్తి ప్రాప్యతను పొందుతారు. షెల్ ఆదేశాలను అమలు చేయడం, ఫైల్లను అప్లోడ్ చేయడం మరియు డౌన్లోడ్ చేయడం మరియు పరికరాల మధ్య కమ్యూనికేషన్ను సులభతరం చేయడానికి రూటర్ని SOCKS ప్రాక్సీగా ఉపయోగించుకునే సామర్థ్యం ఇందులో ఉంటుంది.
పరిశోధన జనవరి 2023లో హార్స్ షెల్ TP-లింక్ ఫర్మ్వేర్ ఇంప్లాంట్ను కనుగొంది. హ్యాకర్ల కార్యకలాపాలు ముస్తాంగ్ పాండా అని పిలువబడే మరొక చైనీస్ హ్యాకింగ్ గ్రూప్తో అతివ్యాప్తి చెందడాన్ని వారు గమనించారు, అయితే వారు ప్రత్యేక కమారో డ్రాగన్ పేరుతో బెదిరింపు నటులను ట్రాక్ చేస్తున్నారు.
హార్స్ షెల్ అసురక్షిత TP-లింక్ ఫర్మ్వేర్ ద్వారా అమలు చేయబడుతుంది
సైబర్ సెక్యూరిటీ పరిశోధకుల పరిశోధనల ప్రకారం, దాడి చేసేవారు TP-Link రూటర్లను బెదిరింపు ఫర్మ్వేర్ చిత్రాన్ని పరిచయం చేయడం ద్వారా సోకారు. రౌటర్ యొక్క సాఫ్ట్వేర్లోని దుర్బలత్వాలను ఉపయోగించడం ద్వారా లేదా బ్రూట్-ఫోర్స్ పద్ధతుల ద్వారా నిర్వాహకుని ఆధారాలను అంచనా వేయడానికి ప్రయత్నించడం ద్వారా ఇది సాధించబడి ఉండవచ్చు.
బెదిరింపు నటుడు రౌటర్ యొక్క నిర్వహణ ఇంటర్ఫేస్కు అడ్మినిస్ట్రేటివ్ యాక్సెస్ను పొందిన తర్వాత, హార్స్ షెల్ మాల్వేర్ను కలిగి ఉన్న అనుకూల ఫర్మ్వేర్ ఇమేజ్తో పరికరాన్ని రిమోట్గా అప్డేట్ చేసే సామర్థ్యాన్ని వారు కలిగి ఉంటారు.
TP-Link రూటర్ల కోసం ప్రత్యేకంగా రూపొందించబడిన ట్రోజనైజ్డ్ ఫర్మ్వేర్ చిత్రాల యొక్క రెండు నమూనాలు ఇప్పటివరకు కనుగొనబడ్డాయి. ఈ హానికరమైన ఫర్మ్వేర్ సంస్కరణలు అసలైన ఫైల్లకు విస్తృతమైన మార్పులు మరియు చేర్పులను కలిగి ఉంటాయి.
తారుమారు చేయబడిన TP-Link ఫర్మ్వేర్ను చట్టబద్ధమైన సంస్కరణతో పోల్చడంలో, నిపుణులు కెర్నల్ మరియు uBoot విభాగాలు ఒకేలా ఉన్నాయని కనుగొన్నారు. అయినప్పటికీ, అసురక్షిత ఫర్మ్వేర్ కస్టమ్ స్క్వాష్ఎఫ్ఎస్ ఫైల్సిస్టమ్ను కలిగి ఉంది, ఇది హార్స్ షెల్ బ్యాక్డోర్ ఇంప్లాంట్తో అనుబంధించబడిన అదనపు పాడైన ఫైల్ భాగాలను కలిగి ఉంది. ఇంకా, అసురక్షిత ఫర్మ్వేర్ మేనేజ్మెంట్ వెబ్ ప్యానెల్ను కూడా మారుస్తుంది, పరికర యజమాని కొత్త ఫర్మ్వేర్ ఇమేజ్ని రూటర్పై ఫ్లాషింగ్ చేయకుండా అలాగే ఇన్ఫెక్షన్ యొక్క నిలకడను నిర్ధారిస్తుంది.
హార్స్ షెల్ ఇంప్లాంట్ యొక్క హానికరమైన సామర్థ్యాలు
హార్స్ షెల్ బ్యాక్డోర్ ఇంప్లాంట్ యాక్టివేట్ అయిన తర్వాత, దాని నిలకడ మరియు రహస్య ఆపరేషన్ను నిర్ధారించడానికి ఇది అనేక పద్ధతులను ఉపయోగిస్తుంది. ముందుగా, SIGPIPE, SIGIN లేదా SIGABRT వంటి నిర్దిష్ట ఆదేశాలు జారీ చేయబడినప్పుడు దాని ప్రక్రియను ముగించవద్దని ఇది ఆపరేటింగ్ సిస్టమ్కు నిర్దేశిస్తుంది. అదనంగా, ఇది తనను తాను డెమోన్గా మారుస్తుంది, ఇది నేపథ్యంలో నిశ్శబ్దంగా అమలు చేయడానికి అనుమతిస్తుంది.
తరువాత, బ్యాక్డోర్ ఆపరేషన్ యొక్క కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్తో కనెక్షన్ను ఏర్పాటు చేస్తుంది. ఇది వినియోగదారు పేరు, ఆపరేటింగ్ సిస్టమ్ వెర్షన్, పరికర వివరాలు, IP చిరునామా, MAC చిరునామా మరియు ఇంప్లాంట్ యొక్క మద్దతు ఉన్న ఫీచర్ల వంటి సమాచారాన్ని కలిగి ఉన్న బాధితుడి మెషీన్ ప్రొఫైల్ను పంపుతుంది.
సెటప్ దశను పూర్తి చేసిన తర్వాత, హార్స్ షెల్ ఓపికగా C2 సర్వర్ నుండి సూచనల కోసం వేచి ఉంది. ఇది మూడు నిర్దిష్ట ఆదేశాలను వింటుంది:
- రిమోట్ షెల్ను ప్రారంభించండి: ఈ కమాండ్ ముప్పు నటులకు రాజీపడిన పరికరానికి పూర్తి ప్రాప్యతను మంజూరు చేస్తుంది, ఆదేశాలను అమలు చేయడానికి మరియు అసురక్షిత కార్యకలాపాలను నిర్వహించడానికి వీలు కల్పిస్తుంది.
- ఫైల్ బదిలీ కార్యకలాపాలను నిర్వహించండి: బ్యాక్డోర్ ఫైల్లను అప్లోడ్ చేయడం మరియు డౌన్లోడ్ చేయడం, ప్రాథమిక ఫైల్ మానిప్యులేషన్ మరియు డైరెక్టరీ ఎన్యూమరేషన్ను సులభతరం చేస్తుంది, ఇది రాజీపడిన పరికరంలో డేటాను మార్చడానికి ముప్పు నటులను అనుమతిస్తుంది.
- టన్నెలింగ్ ప్రారంభించండి: నెట్వర్క్ ట్రాఫిక్ యొక్క గమ్యం మరియు మూలాన్ని అస్పష్టం చేయడానికి హార్స్ షెల్ టన్నెలింగ్ను ప్రారంభించగలదు. C2 సర్వర్ చిరునామాను దాచడం ద్వారా, ఈ టెక్నిక్ దాడి చేసేవారి కార్యకలాపాల యొక్క దొంగతనాన్ని నిర్వహించడానికి సహాయపడుతుంది.
హార్స్ షెల్ ఫర్మ్వేర్ ఇంప్లాంట్ ఒక ప్రత్యేకమైన ఫర్మ్వేర్కు మాత్రమే పరిమితం కాకుండా ఫర్మ్వేర్-అజ్ఞాతవాసి అని పరిశోధకులు గమనించారు. అందువల్ల, సిద్ధాంతపరంగా, ఇది వివిధ విక్రేతల నుండి రౌటర్ల కోసం ఫర్మ్వేర్ చిత్రాలలో సమర్థవంతంగా ఉపయోగించబడుతుంది.
రాష్ట్ర-ప్రాయోజిత హ్యాకర్లు పేలవమైన సురక్షితమైన రూటర్లను లక్ష్యంగా చేసుకోవడంలో ఆశ్చర్యం లేదు. పంపిణీ తిరస్కరణ (DDoS) దాడులు లేదా క్రిప్టో-మైనింగ్ కార్యకలాపాల వంటి కార్యకలాపాల కోసం రౌటర్లు తరచుగా బోట్నెట్లచే లక్ష్యంగా ఉంటాయి. ఈ దాడులు రౌటర్లు తరచుగా పట్టించుకోని భద్రతా చర్యల ప్రయోజనాన్ని పొందుతాయి, దాడి చేసేవారి మూలాన్ని అస్పష్టం చేస్తూ హానికరమైన కార్యకలాపాల కోసం రాజీపడిన పరికరాలు అస్పష్టమైన లాంచ్ప్యాడ్లుగా పనిచేయడానికి వీలు కల్పిస్తాయి.