Diese mysteriöse chinesische Kampagne verwendet trojanisierte Router-Firmware

Jun 09, 2023

Sicherheitsforscher von Check Point sagen, dass sie auf ein einzigartiges neues bösartiges Router-Firmware-Implantat namens „Horse Shell“ gestoßen sind, das ihrer Meinung nach von einer chinesischen Bedrohungsgruppe für unbekannte Zwecke eingesetzt wird.

Das Horse Shell-Implantat ist auf die Nutzung der TP-Link-Home-Router-Firmware zugeschnitten, in C++ geschrieben und für MIPS32-basierte Betriebssysteme kompiliert (wird hauptsächlich in Netzwerkgeräten wie Modems, Routern, Switches usw. verwendet).

Es bietet drei Hauptfunktionen.

Etwas ungewöhnlich ist, dass jede Kommunikation des Implantats mithilfe eines benutzerdefinierten oder modifizierten Verschlüsselungsschemas verschlüsselt wird, das auf dem Substitution-Permutation-Netzwerk basiert. Wenn sie ein Botnetz aufbauen, ist das etwas seltsam.

Die Forscher von Check Point geben offen zu, dass sie nicht die geringste Ahnung haben, was der ursprüngliche Bedrohungsvektor war, um das Implantat auf den Routern zu landen, und auch nicht, was die Gruppe dahinter tatsächlich beabsichtigt – sie sind darüber gestolpert, als sie „ausgefeilte Angriffe analysierten, die auf Beamte in mehreren europäischen Ländern abzielten“. Länder“ und möglicherweise hat es überhaupt nichts mit dieser Kampagne zu tun, obwohl Horse Shell auf der Angriffsinfrastruktur derselben Gruppe gefunden wurde.

Das erste, was sie fanden, war eine einfache passwortgeschützte Shell-Binärdatei, die sich an alle IPv4-Netzwerkschnittstellen an Port 14444 bindet, und sie stellen ironisch fest, dass „das Passwort mit dem hochentwickelten, äußerst einzigartigen Tool namens Strings preisgegeben werden kann. Sollten Sie das benötigen? Um das Passwort einzugeben, führen Sie einfach den folgenden Befehl aus:

$ strings Shell [..] Passwort: J2)3#4G@Iie Erfolg! /bin/sh [..]

👆 Na ja, das ist praktisch...

Check Point sagt: „Das Ziel der Angreifer scheint darin zu bestehen, eine Knotenkette zwischen Hauptinfektionen und echter Befehls- und Kontrollfunktion zu schaffen, und wenn das so ist, würden sie das Implantat wahrscheinlich auf beliebigen Geräten ohne besonderes Interesse installieren“ – mit dem Malware hat „mehrere Open-Source-Bibliotheken intelligent in ihren Code integriert. Ihre Remote-Shell basiert auf Telnet, Ereignisse werden von libev verarbeitet, sie enthält libbase32 und auch ikcp und ihre Listencontainer basieren auf der Smartlist-Implementierung von TOR“. Macht seine Fähigkeiten.

Die Angreifer haben zwei vorhandene Dateien geändert und vier neue zur Router-Firmware hinzugefügt (das eigentliche Design der Malware ist Firmware-agnostisch und könnte/dürfte in Firmware verschiedener Anbieter integriert werden). Sie ruft ihr C2-Netzwerk regelmäßig mit einer Vielzahl von Informationen auf an jedem Endpunkt, einschließlich der Angaben von Check Point:

„Die Funktionalität von Horse Shell ist nicht bahnbrechend, aber sicherlich auch nicht gewöhnlich“, sagte Check Point

„Allerdings machen die Abhängigkeit von libev zur Erstellung eines komplexen ereignisgesteuerten Programms und die Vorliebe für komplexe Strukturen und Listencontainer unsere Aufgabe, es zu analysieren, umso anspruchsvoller. Aber nehmen wir kein Blatt vor den Mund – die Codequalität ist beeindruckend.“ und die Fähigkeit des Implantats, mehrere Aufgaben über eine Reihe von Modulen und Strukturen hinweg zu bewältigen, zeigt die Art von fortgeschrittenen Fähigkeiten, die uns aufstehen und aufmerksam machen lassen …“

Die von Check Point analysierte Aktivität weist „erhebliche Überschneidungen mit Aktivitäten auf, die von Avast und Eset öffentlich bekannt gegeben wurden, und bringt sie mit der mit China verbundenen APT-Gruppe „Mustang Panda“ in Verbindung, und – bei aller Raffinesse der Entwickler – haben sie das auch herausgefunden, wohl ungeschickt ein staatlich unterstützter Bedrohungsakteur – eine IP-Adresse (91.245.253[.]72), auf die sich Horse Shells C&C bezieht, ist im Bericht von Avast über ihre Analyse der Mustang Panda-Kampagne aufgeführt.

Eigenartig.

Die vollständige Aufschlüsselung finden Sie hier.