Esta misteriosa campanha chinesa está usando firmware de roteador trojanizado

Sep 09, 2023

Pesquisadores de segurança da Check Point dizem que encontraram um novo implante de firmware de roteador malicioso apelidado de "Horse Shell" que eles acreditam estar sendo implantado por um grupo de ameaças chinês para fins desconhecidos.

O implante Horse Shell é adaptado para abusar do firmware do roteador doméstico TP-Link, escrito em C++ e compilado para sistemas operacionais baseados em MIPS32 (usado principalmente em equipamentos de rede como modems, roteadores, switches etc.)

Dá três funcionalidades principais.

Um tanto incomum, toda comunicação do implante é criptografada usando um esquema de criptografia personalizado ou modificado que é baseado na Rede de Substituição-Permutação; se eles estão construindo um botnet, é um pouco estranho.

Os pesquisadores da Check Point admitem abertamente que não têm a menor ideia de qual era o vetor de ameaça inicial para colocar o implante nos roteadores, nem mesmo o que o grupo por trás dele pretendia - eles se depararam com isso enquanto "analisavam ataques sofisticados direcionados a funcionários em vários países europeus". países" e pode não estar totalmente relacionado a essa campanha, embora Horse Shell tenha sido encontrado na infraestrutura de ataque do mesmo grupo.

A primeira coisa que eles encontraram foi um binário de shell protegido por senha simples que se ligará a todas as interfaces de rede IPv4 na porta 14444 e eles observam ironicamente que "a senha pode ser revelada com a ferramenta altamente avançada e exclusiva chamada strings. Se você precisar do senha, basta executar o seguinte comando:

$ strings shell [..] senha: J2)3#4G@Iie sucesso! /bin/sh [..]

👆 Bem, isso é útil...

A Check Point diz que "o objetivo dos invasores parece ser a criação de uma cadeia de nós entre as infecções principais e o comando e controle reais e, se assim for, eles provavelmente estariam instalando o implante em dispositivos arbitrários sem nenhum interesse particular" - com o malware com "múltiplas bibliotecas de código aberto integradas de maneira inteligente em seu código. Seu shell remoto é baseado em Telnet, eventos são manipulados por libev, tem libbase32 nele, ikcp também, e seus contêineres de lista são baseados na implementação de lista inteligente de TOR" para potencializar suas capacidades.

Os invasores modificaram dois arquivos existentes e adicionaram quatro novos ao firmware do roteador (o design real do malware é independente do firmware e pode/pode ser integrado ao firmware de diferentes fornecedores). Ele chama sua rede C2 regularmente com uma série de informações em cada endpoint, incluindo o que a Check Point disse foi:

"A funcionalidade do Horse Shell não é inovadora, mas certamente também não é comum", disse Check Point

"No entanto, sua confiança no libev para criar um programa complexo orientado a eventos e sua propensão para estruturas complexas e contêineres de lista tornam nosso trabalho de análise ainda mais desafiador. Mas, não vamos medir palavras - a qualidade do código é impressionante, e a capacidade do implante de lidar com várias tarefas em uma variedade de módulos e estruturas demonstra o tipo de habilidades avançadas que nos fazem ficar de pé e prestar atenção..."

A atividade que a Check Point disse ter analisado tem "sobreposições significativas com atividades divulgadas publicamente pela Avast e Eset, ligando-a ao grupo APT afiliado à China 'Mustang Panda' e - para toda a sofisticação dos desenvolvedores - eles também descobriram que, sem dúvida desajeitadamente de um ator de ameaça apoiado pelo estado - um endereço IP (91.245.253[.]72) para o qual o C&C da Horse Shell resolve está listado no relatório da Avast sobre sua análise da campanha Mustang Panda.

Peculiar.

Veja a repartição completa aqui.