Эта загадочная китайская кампания использует зараженную троянами прошивку маршрутизатора

Jun 09, 2023

Исследователи безопасности из Check Point говорят, что они столкнулись с уникальным новым вредоносным имплантом прошивки маршрутизатора, получившим название «Horse Shell», который, по их мнению, был развернут китайской группой угроз для неизвестных целей.

Имплантат Horse Shell предназначен для злоупотреблений прошивкой домашнего маршрутизатора TP-Link, написанной на C++ и скомпилированной для операционных систем на базе MIPS32 (в основном используемых в сетевом оборудовании, таком как модемы, маршрутизаторы, коммутаторы и т. д.).

Он предоставляет три основные функции.

Несколько необычно то, что каждое сообщение имплантата шифруется с использованием специальной или модифицированной схемы шифрования, основанной на сети замещения-перестановки; если они и создают ботнет, то это немного странный вариант.

Исследователи Check Point открыто признают, что у них нет ни малейшего представления о том, каков был первоначальный вектор угрозы для установки имплантата на маршрутизаторы, а также о том, что намеревается сделать группа, стоящая за ним. Они наткнулись на это, «анализируя сложные атаки, нацеленные на чиновников во многих европейских стран», и это может быть совершенно не связано с этой кампанией, хотя Horse Shell был обнаружен на атакующей инфраструктуре той же группировки.

Первым, что они нашли, был простой двоичный файл оболочки, защищенный паролем, который будет связываться со всеми сетевыми интерфейсами IPv4 на порту 14444, и они с иронией отмечают, что «пароль можно узнать с помощью очень продвинутого и чрезвычайно уникального инструмента, называемого строками. Если вам потребуется пароль, просто выполните следующую команду:

$ strings Shell [..] пароль: J2)3#4G@Ие успех! /бин/ш [..]

👆 Ну, это удобно...

Check Point сообщает, что «цель злоумышленников, судя по всему, состоит в создании цепочки узлов между основными инфекциями и реальным командованием и контролем, и если это так, то они, скорее всего, будут устанавливать имплантат на произвольные устройства без особого интереса» – с вредоносное ПО «умно интегрировало в свой код несколько библиотек с открытым исходным кодом. Его удаленная оболочка основана на Telnet, события обрабатываются libev, в нем есть libbase32, а также ikcp, а его контейнеры списков основаны на реализации smartlist TOR», чтобы усилить свои возможности.

Злоумышленники модифицировали два существующих файла и добавили четыре новых в прошивку маршрутизатора (фактический дизайн вредоносного ПО не зависит от прошивки и может/может быть интегрирован в прошивки от разных производителей). Он регулярно обращается к своей сети C2 с большим количеством информации. на каждой конечной точке, включая то, что, по словам Check Point, было:

«Функциональность Horse Shell не является новаторской, но и не заурядной», — заявили в Check Point.

«Однако использование libev для создания сложной программы, управляемой событиями, а также склонность к сложным структурам и контейнерам списков делают нашу работу по ее анализу еще более сложной. Но давайте не будем смягчать слова — качество кода впечатляет. а способность имплантата выполнять множество задач в ряде модулей и структур демонстрирует тот вид продвинутых навыков, которые заставляют нас встать и обратить внимание…»

В компании Check Point заявили, что проанализированная ею деятельность «значительно совпадает с деятельностью, публично раскрытой Avast и Eset, связывая ее с связанной с Китаем группой APT «Mustang Panda». поддерживаемый государством субъект угроз — IP-адрес (91.245.253[.]72), к которому подключается командный сервер Horse Shell, указан в отчете Avast об анализе кампании Mustang Panda.

Своеобразный.

Полную разбивку смотрите здесь.