Шкідливе програмне забезпечення Horse Shell

Хакерська група, відома як Camaro Dragon, яку, як вважають, спонсорує Китай, заражає побутові маршрутизатори TP-Link спеціальним шкідливим програмним забезпеченням під назвою Horse Shell. Ця кампанія нападів спрямована саме на європейські зовнішньополітичні організації.

Хакери розгортають це бекдорне зловмисне програмне забезпечення за допомогою спеціального та загрозливого мікропрограмного забезпечення, адаптованого для маршрутизаторів TP-Link. Роблячи це, вони можуть здійснювати атаки, які, здається, походять із приватних мереж.

Цей тип атаки спрямований на звичайні житлові та домашні мережі. Таким чином, зараження домашнього маршрутизатора не обов’язково вказує на те, що домовласники самі були конкретною мішенню; скоріше їхні пристрої служать для того, щоб полегшити зловмисникам шлях до досягнення своїх цілей.

Після розгортання зловмисного програмного забезпечення зловмисники отримують повний доступ до зараженого пристрою. Це включає в себе можливість виконувати команди оболонки, завантажувати та завантажувати файли, а також використовувати маршрутизатор як проксі-сервер SOCKS для полегшення зв’язку між пристроями.

Дослідження виявили вбудоване програмне забезпечення Horse Shell TP-Link у січні 2023 року. Вони помітили, що діяльність хакерів збігається з іншою китайською хакерською групою, відомою як Mustang Panda, але вони відстежують учасників загрози під окремою назвою Camaro Dragon.

Horse Shell розгортається через небезпечну мікропрограму TP-Link

Згідно з висновками дослідників кібербезпеки, зловмисники заражають маршрутизатори TP-Link, вводячи загрозливий образ мікропрограми. Це могло бути досягнуто шляхом використання вразливостей у програмному забезпеченні маршрутизатора або шляхом спроби вгадати облікові дані адміністратора за допомогою методів грубої сили.

Щойно зловмисник отримує адміністративний доступ до інтерфейсу керування маршрутизатором, він має можливість віддалено оновлювати пристрій за допомогою спеціального образу мікропрограми, що містить шкідливе програмне забезпечення Horse Shell.

Наразі виявлено два зразки троянських образів мікропрограм, спеціально розроблених для маршрутизаторів TP-Link. Ці шкідливі версії мікропрограми містять значні зміни та доповнення до оригінальних файлів.

Порівнюючи підроблену мікропрограму TP-Link із легальною версією, експерти виявили, що розділи ядра та uBoot ідентичні. Однак небезпечне мікропрограмне забезпечення містило спеціальну файлову систему SquashFS, яка містила додаткові пошкоджені файлові компоненти, пов’язані з бекдором Horse Shell. Крім того, небезпечне мікропрограмне забезпечення також змінює веб-панель керування, ефективно перешкоджаючи власнику пристрою встановити новий образ мікропрограми на маршрутизатор, а також забезпечуючи стійкість інфекції.

Шкідливі властивості імплантату кінського панцира

Після активації бекдор-імплантату Horse Shell він використовує кілька методів, щоб забезпечити його стійкість і приховану роботу. По-перше, він наказує операційній системі не припиняти свій процес, коли видаються певні команди, такі як SIGPIPE, SIGIN або SIGABRT. Крім того, він перетворює себе на демона, що дозволяє безшумно працювати у фоновому режимі.

Далі бекдор встановлює з’єднання з сервером командування та керування (C2) операції. Він надсилає профіль машини жертви, який містить таку інформацію, як ім’я користувача, версія операційної системи, деталі пристрою, IP-адреса, MAC-адреса та підтримувані функції імплантату.

Після завершення етапу налаштування Horse Shell терпляче чекає інструкцій від сервера C2. Він слухає три конкретні команди:

• Запустити віддалену оболонку: ця команда надає суб’єктам загрози повний доступ до скомпрометованого пристрою, дозволяючи їм виконувати команди та виконувати небезпечні дії.
• Виконуйте дії з передачі файлів: бекдор полегшує завантаження та завантаження файлів, основні маніпуляції з файлами та перерахування каталогів, дозволяючи суб’єктам загрози маніпулювати даними на скомпрометованому пристрої.
• Почати тунелювання: Horse Shell може ініціювати тунелювання, щоб приховати пункт призначення та походження мережевого трафіку. Приховуючи адресу сервера C2, ця техніка допомагає підтримувати прихованість операцій зловмисників.

Дослідники відзначають, що імплантат мікропрограми Horse Shell не обмежується окремим типом мікропрограми, але не залежить від мікропрограми. Тому теоретично його потенційно можна використовувати в образах мікропрограм для маршрутизаторів від різних постачальників.

Те, що спонсоровані державою хакери атакують погано захищені маршрутизатори, не є дивним. Маршрутизатори часто стають цілями ботнетів для таких дій, як розподілені DDoS-атаки або операції криптомайнінгу. Ці атаки використовують переваги заходів безпеки маршрутизаторів, про які часто не звертають уваги, дозволяючи скомпрометованим пристроям служити непомітними стартовими майданчиками для шкідливих дій, приховуючи при цьому походження зловмисника.