Χάκερ έχουν μολύνει το firmware των router TP-Link προκειμένου να επιτεθούν σε οντότητες στην Ευρωπαϊκή Ένωση.
Μια κρατικά υποστηριζόμενη κινεζική ομάδα hacking, με την ονομασία “Camaro Dragon”, έχει μολύνει οικιακά router TP-Link με ένα προσαρμοσμένο malware “Horse Shell” που χρησιμοποιείται για επιθέσεις σε οργανισμούς εξωτερικών υποθέσεων στην Ευρώπη.
Το κακόβουλο λογισμικό backdoor αναπτύσσεται σε ένα κακόβουλο και προσαρμοσμένο υλικολογισμικό, σχεδιασμένο ειδικά για τα router TP-Link, έτσι ώστε οι χάκερ να μπορούν να εξαπολύουν επιθέσεις που φαίνεται να προέρχονται από οικιακά δίκτυα.
Το κακόβουλο λογισμικό που αναπτύσσεται επιτρέπει στους απειλητικούς φορείς πλήρη πρόσβαση στη συσκευή, συμπεριλαμβανομένης της εκτέλεσης shell commands, της μεταφόρτωσης και λήψης αρχείων και της χρήσης της ως SOCKS proxy για την αναμετάδοση της επικοινωνίας μεταξύ συσκευών.
Το Horse Shell TP-Link firmware implant ανακαλύφθηκε από την Check Point Research τον Ιανουάριο του 2021, η οποία αναφέρει ότι η δραστηριότητα των χάκερ συμπίπτει με εκείνη της κινεζικής ομάδας χάκερ “Mustang Panda” που περιγράφεται λεπτομερώς σε εκθέσεις της Avast και της ESET.
Η Check Point παρακολουθεί αυτή τη δραστηριότητα ξεχωριστά, χρησιμοποιώντας το όνομα “Camaro Dragon” για τη συστάδα δραστηριοτήτων, παρά τις ομοιότητες και τη σημαντική επικάλυψη με το Mustang Panda.
Η απόδοση έγινε με βάση τις διευθύνσεις IP διακομιστή των εισβολέων, αιτήματα με σκληρά κωδικοποιημένες κεφαλίδες HTTP που βρέθηκαν σε διάφορους κινεζικούς ιστότοπους, πολλά τυπογραφικά λάθη στον δυαδικό κώδικα που δείχνουν ότι ο συγγραφέας δεν είναι μητρικός ομιλητής της αγγλικής γλώσσας και λειτουργικές ομοιότητες του trojan με το εμφύτευμα δρομολογητή APT31 “Pakdoor”.
Εμφύτευμα υλικολογισμικού TP-Link
Ενώ η Check Point δεν έχει προσδιορίσει τον τρόπο με τον οποίο οι επιτιθέμενοι μολύνουν τα TP-Link routers με την κακόβουλη εικόνα firmware, ανέφερε ότι αυτό θα μπορούσε να γίνει με την εκμετάλλευση μιας ευπάθειας ή με την παραβίαση των credentials του διαχειριστή.
Μόλις ένας απειλητικός παράγοντας αποκτήσει πρόσβαση διαχειριστή στη διεπαφή διαχείρισης, μπορεί να ενημερώσει εξ αποστάσεως τη συσκευή με το custom firmware image.
Μέσω της έρευνάς της, η Check Point βρήκε δύο δείγματα trojanized firmware images για TP-Link routers, τα οποία περιείχαν εκτεταμένες τροποποιήσεις και προσθήκες αρχείων.
Η Check Point συνέκρινε το κακόβουλο firmware της TP-Link με μια νόμιμη έκδοση και διαπίστωσε ότι τα τμήματα kernel και uBoot ήταν πανομοιότυπα. Ωστόσο, το κακόβουλο υλικολογισμικό χρησιμοποιούσε ένα προσαρμοσμένο σύστημα αρχείων SquashFS, το οποίο περιείχε πρόσθετα κακόβουλα στοιχεία αρχείων που αποτελούν μέρος του κακόβουλου εμφυτεύματος backdoor Horse Shell.
Το firmware τροποποιεί και το πάνελ διαχείρισης στο διαδίκτυο, εμποδίζοντας τον ιδιοκτήτη της συσκευής να κάνει flash ένα νέο firmware image στο router και εξασφαλίζοντας τη διατήρηση της μόλυνσης.

To Horse Shell backdoor
Όταν το εμφύτευμα της κερκόπορτας Horse Shell αρχικοποιείται, θα δώσει εντολή στο λειτουργικό σύστημα να μην τερματίσει τη διεργασία του όταν εκδοθούν οι εντολές SIGPIPE, SIGINT ή SIGABRT και να μετατραπεί σε daemon για να εκτελείται στο παρασκήνιο.
Στη συνέχεια, το backdoor θα συνδεθεί με τον command and control (C2) server για να στείλει το προφίλ του μηχανήματος του θύματος, συμπεριλαμβανομένου του ονόματος χρήστη, της έκδοσης του λειτουργικού συστήματος, της ώρας, των πληροφοριών της συσκευής, της διεύθυνσης IP, της διεύθυνσης MAC και των υποστηριζόμενων χαρακτηριστικών εμφύτευσης.
Το Horse Shell θα τρέχει τώρα αθόρυβα στο παρασκήνιο περιμένοντας μία από τις ακόλουθες τρεις εντολές:
- Ξεκίνα ένα remote shell παρέχοντας στους απειλητικούς φορείς πλήρη πρόσβαση στην παραβιασμένη συσκευή.
- Εκτελέστε δραστηριότητες μεταφοράς αρχείων, συμπεριλαμβανομένης της αποστολής και της λήψης, της βασικής επεξεργασίας αρχείων και του directory enumeration.
- Εκκίνηση του tunneling για να γίνει απόκρυψη της προέλευσης και του προορισμού της δικτυακής κίνησης και της απόκρυψης της διεύθυνσης του διακομιστή C2.

Οι ερευνητές λένε ότι το Horse Shell firmware implant είναι firmware-agnostic, οπότε θεωρητικά θα μπορούσε να λειτουργήσει με firmware images από άλλα routers διαφορετικών προμηθευτών.
Δεν αποτελεί έκπληξη το γεγονός ότι οι κρατικά υποστηριζόμενοι χάκερ στοχεύουν σε ανεπαρκώς ασφαλείς δρομολογητές, οι οποίοι συχνά αποτελούν στόχο botnets για επιθέσεις DDoS ή επιχειρήσεις crypto-mining. Αυτό οφείλεται στο γεγονός ότι οι δρομολογητές συχνά παραβλέπονται κατά την εφαρμογή μέτρων ασφαλείας και μπορούν να λειτουργήσουν ως μυστικό ορμητήριο για επιθέσεις, αποκρύπτοντας την προέλευση του επιτιθέμενου.
Συνιστάται στους χρήστες να εφαρμόσουν την πιο πρόσφατη ενημέρωση υλικολογισμικού για το μοντέλο του router τους, ώστε να επιδιορθώσουν τυχόν υπάρχουσες ευπάθειες και να αλλάξουν τον προεπιλεγμένο κωδικό πρόσβασης διαχειριστή σε κάτι ισχυρό. Ωστόσο, ακόμη πιο κρίσιμο είναι να απενεργοποιήσουν την απομακρυσμένη πρόσβαση στον πίνακα διαχείρισης της συσκευής και να τον καταστήσουν προσβάσιμο μόνο από το τοπικό δίκτυο.
Πηγή: bleepingcomputer.com