یک گروه هکری تحت حمایت دولت چین به نام “Camaro Dragon” روترهای مسکونی TP-Link را با بدافزار سفارشی “Horse Shell” که برای حمله به سازمان های روابط خارجی اروپا استفاده می شود، آلوده می کند.

بدافزار Backdoor در یک میان‌افزار سفارشی و مخرب طراحی شده است که به‌طور خاص برای روترهای TP-Link طراحی شده است تا هکرها بتوانند حملاتی را انجام دهند که به نظر می‌رسد از شبکه‌های مسکونی سرچشمه می‌گیرند.

گزارش چک پوینت توضیح می‌دهد: «شایان ذکر است که این نوع حمله به‌طور خاص شبکه‌های حساس را هدف نمی‌گیرد، بلکه شبکه‌های معمولی مسکونی و خانگی را هدف قرار می‌دهد».

بنابراین، آلوده کردن یک روتر خانگی لزوماً به این معنی نیست که صاحب خانه یک هدف خاص بوده است، بلکه دستگاه آنها صرفاً وسیله ای برای رسیدن به هدف مهاجمان بوده است.»

بدافزار مستقر شده به عوامل تهدید امکان دسترسی کامل به دستگاه، از جمله اجرای دستورات پوسته، آپلود و دانلود فایل‌ها، و استفاده از آن به عنوان یک پروکسی SOCKS برای انتقال ارتباط بین دستگاه‌ها را می‌دهد.

ایمپلنت سفت‌افزار Horse Shell TP-Link توسط Check Point Research در ژانویه 2023 کشف شد که می‌گوید فعالیت هکرها با گروه هک چینی “Mustang Panda” که اخیراً در گزارش‌های Avast و ESET شرح داده شده است، همپوشانی دارد.

Check Point این فعالیت را به طور جداگانه با استفاده از نام “Camaro Dragon” برای خوشه فعالیت ردیابی می کند، علی رغم شباهت ها و همپوشانی قابل توجه با Mustang Panda.

این انتساب بر اساس آدرس‌های IP سرور مهاجمان، درخواست‌های حاوی هدرهای HTTP کدگذاری‌شده در وب‌سایت‌های مختلف چینی، بسیاری از اشتباهات املایی در کد باینری که نشان می‌دهد نویسنده انگلیسی زبان مادری نیست، و شباهت‌های عملکردی تروجان با ایمپلنت روتر APT31 “Pakdoor”.

ایمپلنت سیستم عامل TP-Link

در حالی که Check Point مشخص نکرده است که مهاجمان چگونه روترهای TP-Link را با تصویر میان‌افزار مخرب آلوده می‌کنند، آنها می‌گویند که این می‌تواند از طریق سوء استفاده از یک آسیب‌پذیری یا اعمال بی‌رحمانه اعتبارنامه‌های مدیر باشد.

هنگامی که یک عامل تهدید به رابط مدیریت دسترسی ادمین پیدا می کند، می تواند از راه دور دستگاه را با تصویر سفت افزار سفارشی به روز کند.

چک پوینت از طریق بررسی، دو نمونه از تصاویر تروجان‌افزاری برای روترهای TP-Link پیدا کرد که هر دو شامل تغییرات گسترده و افزوده‌های فایل بودند.

چک پوینت میان افزار مخرب TP-Link را با نسخه قانونی مقایسه کرد و متوجه شد که بخش کرنل و uBoot یکسان هستند. با این حال، سفت‌افزار مخرب از یک فایل سیستم سفارشی SquashFS استفاده می‌کند که حاوی اجزای فایل مخرب اضافی است که بخشی از بدافزار در پشتی Horse Shell است.

چک پوینت توضیح می دهد: “قسمتی از آن به صورت داخلی Horse Shell نامیده می شود، بنابراین ما از آن برای نامگذاری ایمپلنت به عنوان یک کل استفاده می کنیم. ایمپلنت 3 عملکرد اصلی را در اختیار مهاجم قرار می دهد: پوسته از راه دور، انتقال فایل، و تونل سازی.”

سفت‌افزار همچنین پنل وب مدیریت را اصلاح می‌کند و از فلش کردن تصویر جدید میان‌افزار برای روتر توسط صاحب دستگاه جلوگیری می‌کند و از ماندگاری عفونت اطمینان می‌دهد.

درب پشتی پوسته اسب

هنگامی که ایمپلنت درب پشتی Horse Shell مقدار دهی اولیه می شود، به سیستم عامل دستور می دهد که فرآیند خود را با صدور دستورات SIGPIPE، SIGINT یا SIGABRT خاتمه ندهد و به یک شبح برای اجرا در پس زمینه تبدیل شود.

سپس درب پشتی به سرور فرمان و کنترل (C2) متصل می شود تا مشخصات دستگاه قربانی شامل نام کاربری، نسخه سیستم عامل، زمان، اطلاعات دستگاه، آدرس IP، آدرس MAC و ویژگی های ایمپلنت پشتیبانی شده را ارسال کند.

Horse Shell اکنون بی سر و صدا در پس زمینه و منتظر یکی از سه دستور زیر اجرا می شود:

1. یک پوسته راه دور راه‌اندازی کنید تا عوامل تهدید به دستگاه آسیب‌دیده دسترسی کامل داشته باشند.
2. انجام فعالیت های انتقال فایل، از جمله آپلود و دانلود، دستکاری اولیه فایل، و شمارش فهرست.
3. شروع به تونل زدن کنید تا مبدا و مقصد ترافیک شبکه را مبهم کنید و آدرس سرور C2 را مخفی کنید.

محققان می‌گویند که ایمپلنت میان‌افزار Horse Shell از نظر سفت‌افزار مقاوم است، بنابراین از نظر تئوری می‌تواند در تصاویر میان‌افزار برای روترهای دیگر توسط فروشندگان مختلف کار کند.

تعجب آور نیست که ببینیم هکرهای تحت حمایت دولت روترهایی با امنیت ضعیف را هدف قرار می دهند که اغلب توسط بات نت ها برای حملات DDoS یا عملیات استخراج رمزنگاری هدف قرار می گیرند. این به این دلیل است که روترها معمولاً هنگام اجرای اقدامات امنیتی نادیده گرفته می شوند و می توانند به عنوان یک سکوی پرتاب مخفی برای حملات عمل کنند و مبدأ مهاجم را مبهم کنند.

به کاربران توصیه می شود که آخرین به روز رسانی سیستم عامل را برای مدل روتر خود اعمال کنند تا هر گونه آسیب پذیری موجود را اصلاح کنند و رمز عبور پیش فرض مدیریت را به چیزی قوی تغییر دهند. با این حال، حتی مهم تر، دسترسی از راه دور به پنل مدیریت دستگاه را غیرفعال کنید و آن را فقط از طریق شبکه محلی قابل دسترسی کنید.

یک موضوع تکراری

دستگاه‌های شبکه Edge به یک هدف محبوب برای عوامل تهدید مورد حمایت دولت تبدیل شده‌اند، به طوری که هکرهای چینی قبلاً روترهای Fortinet VPN و SonicWall SMA را با ایمپلنت‌های سفت‌افزار سفارشی هدف قرار داده بودند.

اخیراً، آژانس‌های امنیت سایبری NCSC بریتانیا و CISA ایالات متحده هشدار دادند که عوامل تهدید تحت حمایت دولت روسیه نیز برای نصب بدافزار سفارشی، روترهای سیسکو را نقض می‌کنند.

از آنجایی که این دستگاه‌ها معمولاً از راه‌حل‌های امنیتی EDR (تشخیص و پاسخ نقطه پایانی) پشتیبانی نمی‌کنند، عوامل تهدید می‌توانند از آنها برای سرقت داده‌ها، انتشار جانبی و انجام حملات بیشتر با فرصت کمتر برای شناسایی استفاده کنند.

چارلز کارماکال، مدیر ارشد فناوری Mandiant به BleepingComputer گفت: «موضوع تکراری تمرکز جاسوسی سایبری چین-Nexus بر روی لوازم شبکه، دستگاه‌های IOT و غیره که از راه‌حل‌های EDR پشتیبانی نمی‌کنند، وجود دارد.

به همین دلیل، برای مدیران شبکه حیاتی است که به محض در دسترس شدن، تمام وصله‌های امنیتی موجود را روی دستگاه‌های لبه نصب کنند و کنسول‌های مدیریتی را به‌صورت عمومی در معرض دید عموم قرار ندهند.