Cette mystérieuse campagne chinoise utilise un firmware de routeur cheval de Troie

Sep 09, 2023

Les chercheurs en sécurité de Check Point disent avoir rencontré un nouvel implant de micrologiciel de routeur malveillant unique appelé "Horse Shell" qu'ils pensent être déployé par un groupe de menaces chinois à des fins inconnues.

L'implant Horse Shell est conçu pour abuser du micrologiciel du routeur domestique TP-Link, écrit en C++ et compilé pour les systèmes d'exploitation basés sur MIPS32 (principalement utilisés dans les équipements réseau tels que les modems, les routeurs, les commutateurs, etc.)

Il donne trois fonctionnalités principales.

De manière quelque peu inhabituelle, chaque communication par l'implant est cryptée à l'aide d'un schéma de cryptage personnalisé ou modifié basé sur le réseau de substitution-permutation ; s'ils construisent un botnet, c'est un peu étrange.

Les chercheurs de Check Point admettent ouvertement qu'ils n'ont pas la moindre idée de ce qu'était le vecteur de menace initial pour faire atterrir l'implant sur les routeurs ni même de ce que le groupe derrière lui avait l'intention de faire - ils sont tombés dessus en « analysant des attaques sophistiquées visant des fonctionnaires dans plusieurs pays européens ». pays" et cela n'a peut-être aucun rapport avec cette campagne, bien que Horse Shell ait été trouvé sur l'infrastructure d'attaque du même groupe.

La première chose qu'ils ont trouvée était un simple binaire shell protégé par mot de passe qui se liera à toutes les interfaces réseau IPv4 sur le port 14444 et ils notent avec ironie que "le mot de passe peut être révélé avec l'outil très avancé et extrêmement unique appelé chaînes. Si vous avez besoin du mot de passe, lancez simplement la commande suivante :

$ strings shell [..] mot de passe : J2)3#4G@Iie succès ! /bin/sh [..]

👆 Bon, c'est pratique...

Check Point indique que "l'objectif des attaquants semble être la création d'une chaîne de nœuds entre les principales infections et le véritable commandement et contrôle, et si tel est le cas, ils installeraient probablement l'implant sur des appareils arbitraires sans intérêt particulier" - avec le malware ayant "intelligemment intégré plusieurs bibliothèques open source dans son code. Son shell distant est basé sur Telnet, les événements sont gérés par libev, il contient libbase32, ikcp également, et ses conteneurs de liste sont basés sur la smartlist de TOR, mise en œuvre" pour alimenter ses capacités.

Les attaquants ont modifié deux fichiers existants et en ont ajouté quatre nouveaux au micrologiciel du routeur (la conception réelle du logiciel malveillant est indépendante du micrologiciel et pourrait/peut être intégrée dans le micrologiciel de différents fournisseurs.) Il appelle régulièrement son réseau C2 avec une foule d'informations sur chaque point de terminaison, y compris ce que Check Point a dit :

"La fonctionnalité de Horse Shell n'est pas révolutionnaire, mais certainement pas banale non plus", a déclaré Check Point.

"Cependant, sa dépendance à libev pour créer un programme complexe piloté par les événements, et son penchant pour les structures complexes et les conteneurs de liste, rendent notre travail d'analyse d'autant plus difficile. Mais, ne mâchons pas nos mots - la qualité du code est impressionnante, et la capacité de l'implant à gérer plusieurs tâches à travers une gamme de modules et de structures démontre le type de compétences avancées qui nous font nous lever et remarquer…"

L'activité que Check Point a déclaré avoir analysée présente "des chevauchements significatifs avec les activités divulguées publiquement par Avast et Eset, la reliant au groupe APT affilié à la Chine" Mustang Panda "et - malgré toute la sophistication des développeurs - ils ont également constaté que, sans doute maladroitement de un acteur de menace soutenu par l'État - une adresse IP (91.245.253[.]72) à laquelle le C&C de Horse Shell se résout est répertoriée dans le rapport d'Avast sur son analyse de la campagne Mustang Panda.

Particulier.

Voir la ventilation complète ici.