Esta misteriosa campaña china está utilizando firmware de enrutador troyano

Jun 09, 2023

Los investigadores de seguridad de Check Point dicen que encontraron un nuevo implante de firmware de enrutador malicioso único denominado "Caparazón de caballo" que creen que está siendo implementado por un grupo de amenazas chino con fines desconocidos.

El implante Horse Shell está diseñado para abusar del firmware del enrutador doméstico TP-Link, escrito en C ++ y compilado para sistemas operativos basados ​​​​en MIPS32 (utilizado principalmente en equipos de red como módems, enrutadores, conmutadores, etc.)

Da tres funcionalidades principales.

De manera un tanto inusual, todas las comunicaciones del implante se cifran utilizando un esquema de cifrado personalizado o modificado que se basa en la Red de permutación de sustitución; si están construyendo una botnet, es un poco extraño.

Los investigadores de Check Point admiten abiertamente que no tienen la menor idea de cuál era el vector de amenaza inicial para aterrizar el implante en los enrutadores ni, de hecho, cuál es la intención del grupo detrás de él: se toparon con él mientras "analizaban ataques sofisticados dirigidos a funcionarios en múltiples países" y puede no estar relacionado con esa campaña, aunque Horse Shell se encontró en la infraestructura de ataque del mismo grupo.

Lo primero que encontraron fue un shell binario simple protegido por contraseña que se vinculará a todas las interfaces de red IPv4 en el puerto 14444 y señalan irónicamente que "la contraseña se puede revelar con la herramienta altamente avanzada y extremadamente única llamada cadenas. Si necesita la contraseña, simplemente ejecute el siguiente comando:

$ strings shell [..] contraseña: J2)3#4G@Iie ¡éxito! /bin/sh [..]

👆 Bueno, eso es útil...

Check Point dice que "el objetivo de los atacantes parece ser la creación de una cadena de nodos entre las infecciones principales y el comando y control real, y si es así, probablemente instalarían el implante en dispositivos arbitrarios sin ningún interés particular", con el malware que tiene "inteligentemente múltiples bibliotecas de código abierto integradas en su código. Su shell remoto se basa en Telnet, los eventos son manejados por libev, tiene libbase32, ikcp también, y sus contenedores de listas se basan en la implementación de listas inteligentes de TOR" para potencia sus capacidades.

Los atacantes modificaron dos archivos existentes y agregaron cuatro nuevos al firmware del enrutador (el diseño real del malware es independiente del firmware y podría/puede integrarse en el firmware de diferentes proveedores). Llama a su red C2 regularmente con una gran cantidad de información en cada punto final, incluido lo que Check Point dijo que era:

"La funcionalidad de Horse Shell no es innovadora, pero ciertamente tampoco es común y corriente", dijo Check Point.

"Sin embargo, su dependencia de libev para crear un programa complejo basado en eventos y su inclinación por las estructuras complejas y los contenedores de listas hacen que nuestro trabajo de análisis sea aún más desafiante. Pero, no nos andemos con rodeos: la calidad del código es impresionante, y la capacidad del implante para manejar múltiples tareas a través de una gama de módulos y estructuras demuestra el tipo de habilidades avanzadas que nos hacen ponernos de pie y tomar nota..."

La actividad que Check Point dijo que analizó tiene "superposiciones significativas con las actividades divulgadas públicamente por Avast y Eset, vinculándolas con el grupo APT afiliado a China 'Mustang Panda' y, a pesar de la sofisticación de todos los desarrolladores, también encontraron que, posiblemente torpemente desde un actor de amenazas respaldado por el estado: una dirección IP (91.245.253[.]72) a la que se dirige el C&C de Horse Shell se incluye en el informe de Avast sobre su análisis de la campaña Mustang Panda.

Peculiar.

Vea el desglose completo aquí.