At Kabuğu Kötü Amaçlı Yazılım

Çin tarafından devlet destekli olduğuna inanılan "Camaro Dragon" olarak bilinen bir bilgisayar korsanlığı grubunun, konut TP-Link yönlendiricilerine Horse Shell adlı özel bir kötü amaçlı yazılım bulaştırdığı bulundu. Bu saldırı kampanyası özellikle Avrupa dışişleri örgütlerini hedef alıyor.

Bilgisayar korsanları, bu arka kapı kötü amaçlı yazılımını, TP-Link yönlendiricileri için uyarlanmış, özelleştirilmiş ve tehdit edici ürün yazılımı aracılığıyla dağıtır. Bunu yaparak, konut ağlarından kaynaklanıyor gibi görünen saldırılar gerçekleştirebilirler.

Bu tür bir saldırı, normal konut ve ev ağlarını hedefler. Bu nedenle, bir ev yönlendiricisine virüs bulaşması, mutlaka ev sahiplerinin kendilerinin belirli bir hedef olduğunu göstermez; bunun yerine cihazları, saldırganların hedeflerine ulaşmalarını kolaylaştırmaya hizmet ediyor.

Kötü amaçlı yazılım dağıtıldıktan sonra, tehdit aktörleri virüslü cihaza tam erişim elde eder. Bu, kabuk komutlarını yürütme, dosya yükleme ve indirme ve aygıtlar arasındaki iletişimi kolaylaştırmak için yönlendiriciyi bir SOCKS proxy'si olarak kullanma becerisini içerir.

Araştırma, Ocak 2023'te Horse Shell TP-Link aygıt yazılımı implantını keşfetti. Bilgisayar korsanlarının faaliyetlerinin Mustang Panda olarak bilinen başka bir Çinli bilgisayar korsanlığı grubuyla örtüştüğünü, ancak tehdit aktörlerini ayrı Camaro Dragon adı altında izlediklerini gözlemlediler.

At Kabuğu, Güvenli Olmayan TP-Link Ürün Yazılımı aracılığıyla Dağıtıldı

Siber güvenlik araştırmacılarının bulgularına göre saldırganlar, tehdit edici bir ürün yazılımı görüntüsü sunarak TP-Link yönlendiricilerine bulaşıyor. Bu, yönlendiricinin yazılımındaki güvenlik açıklarından yararlanılarak veya kaba kuvvet yöntemleriyle yöneticinin kimlik bilgileri tahmin edilmeye çalışılarak başarılmış olabilir.

Tehdit aktörü, yönlendiricinin yönetim arabirimine yönetici erişimi elde ettikten sonra, cihazı Horse Shell kötü amaçlı yazılımını içeren özel üretici yazılımı görüntüsüyle uzaktan güncelleme yeteneğine sahip olur.

Şimdiye kadar TP-Link yönlendiricileri için özel olarak tasarlanmış iki truva atına bulaştırılmış üretici yazılımı görüntüsü örneği keşfedildi. Bu zararlı üretici yazılımı sürümleri, orijinal dosyalarda kapsamlı değişiklikler ve eklemeler içerir.

Uzmanlar, kurcalanmış TP-Link üretici yazılımını yasal bir sürümle karşılaştırırken, çekirdek ve uBoot bölümlerinin aynı olduğunu buldu. Ancak güvenli olmayan ürün yazılımı, Horse Shell arka kapı implantıyla ilişkili ek bozuk dosya bileşenlerini içeren özel bir SquashFS dosya sistemi içeriyordu. Ayrıca, güvenli olmayan üretici yazılımı, yönetim Web panelini de değiştirerek, cihaz sahibinin yönlendiriciye yeni bir üretici yazılımı görüntüsü yüklemesini etkili bir şekilde engelleyerek, bulaşmanın kalıcı olmasını sağlar.

At Kabuğu İmplantının Zararlı Özellikleri

Horse Shell arka kapı implantı etkinleştirildiğinde, kalıcılığını ve gizli çalışmasını sağlamak için çeşitli teknikler kullanır. İlk olarak, işletim sistemine SIGPIPE, SIGIN veya SIGABRT gibi belirli komutlar verildiğinde işlemini sonlandırmaması talimatını verir. Ek olarak, arka planda sessizce çalışmasına izin vererek kendisini bir arka plan programına dönüştürür.

Daha sonra, arka kapı operasyonun Komuta ve Kontrol (C2) sunucusuyla bağlantı kurar. Kullanıcı adı, işletim sistemi sürümü, cihaz detayları, IP adresi, MAC adresi ve implantın desteklenen özellikleri gibi bilgileri içeren kurbanın makine profilini gönderir.

Kurulum aşamasını tamamlayan Horse Shell, sabırla C2 sunucusundan gelen talimatları bekler. Üç özel komutu dinler:

• Uzak bir kabuk başlat: Bu komut, tehdit aktörlerine güvenliği ihlal edilmiş cihaza tam erişim sağlayarak komutları yürütmelerine ve güvenli olmayan etkinlikler gerçekleştirmelerine olanak tanır.
• Dosya aktarım faaliyetlerini gerçekleştirin: Arka kapı, dosyaların karşıya yüklenmesini ve indirilmesini, temel dosya işlemeyi ve dizin numaralandırmayı kolaylaştırarak tehdit aktörlerinin güvenliği ihlal edilmiş cihazdaki verileri manipüle etmesine olanak tanır.
• Tünel oluşturmaya başlayın: Horse Shell, ağ trafiğinin hedefini ve kaynağını gizlemek için tünel açmaya başlayabilir. C2 sunucu adresini gizleyen bu teknik, saldırganların operasyonlarının gizliliğinin korunmasına yardımcı olur.

Araştırmacılar, Horse Shell aygıt yazılımı implantının farklı bir aygıt yazılımı türüyle sınırlı olmadığını, aygıt yazılımından bağımsız olduğunu belirtiyor. Bu nedenle, teorik olarak, çeşitli satıcılardan yönlendiriciler için ürün yazılımı görüntülerinde potansiyel olarak kullanılabilir.

Devlet destekli bilgisayar korsanları tarafından zayıf güvenlikli yönlendiricilerin hedef alınması şaşırtıcı değil. Yönlendiriciler, dağıtılmış Hizmet Reddi (DDoS) saldırıları veya kripto madenciliği operasyonları gibi etkinlikler için genellikle bot ağları tarafından hedef alınır. Bu saldırılar, yönlendiricilerin genellikle gözden kaçan güvenlik önlemlerinden yararlanarak, güvenliği ihlal edilmiş cihazların, saldırganın kaynağını gizlerken zararlı etkinlikler için göze çarpmayan fırlatma rampaları olarak hizmet etmesine olanak tanır.