Malware de concha de caballo

Un grupo de piratas informáticos conocido como "Camaro Dragon", que se cree que está patrocinado por el estado de China, infectó los enrutadores TP-Link residenciales con un malware personalizado llamado Horse Shell. Esta campaña de ataque está dirigida específicamente a las organizaciones europeas de asuntos exteriores.

Los piratas informáticos implementan este malware de puerta trasera a través de firmware personalizado y amenazante diseñado para enrutadores TP-Link. Al hacerlo, pueden llevar a cabo ataques que parecen originarse en redes residenciales.

Este tipo de ataque tiene como objetivo redes residenciales y domésticas normales. Por lo tanto, la infección de un enrutador doméstico no indica necesariamente que los propios propietarios fueran un objetivo específico; más bien, sus dispositivos sirven para facilitar el camino a los atacantes para lograr sus objetivos.

Una vez que se implementa el malware, los actores de amenazas obtienen acceso completo al dispositivo infectado. Esto incluye la capacidad de ejecutar comandos de shell, cargar y descargar archivos y utilizar el enrutador como un proxy SOCKS para facilitar la comunicación entre dispositivos.

La investigación descubrió el implante de firmware Horse Shell TP-Link en enero de 2023. Han observado que las actividades de los piratas informáticos se superponen con otro grupo de piratas informáticos chino conocido como Mustang Panda, pero están rastreando a los actores de amenazas bajo el nombre separado de Camaro Dragon.

Horse Shell se implementa a través de un firmware TP-Link no seguro

Según los hallazgos de los investigadores de ciberseguridad, los atacantes infectan los enrutadores TP-Link al introducir una imagen de firmware amenazante. Esto puede haberse logrado al explotar vulnerabilidades en el software del enrutador o al intentar adivinar las credenciales del administrador a través de métodos de fuerza bruta.

Una vez que el actor de amenazas obtiene acceso administrativo a la interfaz de administración del enrutador, tiene la capacidad de actualizar de forma remota el dispositivo con la imagen de firmware personalizada que contiene el malware Horse Shell.

Hasta el momento se han descubierto dos muestras de imágenes de firmware troyanizadas diseñadas específicamente para enrutadores TP-Link. Estas versiones de firmware dañinas contienen amplias modificaciones y adiciones a los archivos originales.

Al comparar el firmware manipulado de TP-Link con una versión legítima, los expertos descubrieron que las secciones del kernel y uBoot eran idénticas. Sin embargo, el firmware inseguro incorporaba un sistema de archivos SquashFS personalizado que contenía componentes de archivos dañados adicionales asociados con el implante de puerta trasera Horse Shell. Además, el firmware inseguro también altera el panel web de administración, lo que evita que el propietario del dispositivo actualice una nueva imagen de firmware en el enrutador y garantiza la persistencia de la infección.

Las capacidades nocivas del implante de concha de caballo

Una vez que se activa el implante de puerta trasera Horse Shell, emplea varias técnicas para garantizar su persistencia y operación encubierta. En primer lugar, le indica al sistema operativo que no termine su proceso cuando se emiten ciertos comandos, como SIGPIPE, SIGIN o SIGABRT. Además, se convierte en un demonio, lo que le permite ejecutarse silenciosamente en segundo plano.

A continuación, la puerta trasera establece una conexión con el servidor de Comando y Control (C2) de la operación. Envía el perfil de la máquina de la víctima, que incluye información como el nombre de usuario, la versión del sistema operativo, los detalles del dispositivo, la dirección IP, la dirección MAC y las funciones admitidas del implante.

Una vez completada la fase de configuración, Horse Shell espera pacientemente las instrucciones del servidor C2. Escucha tres comandos específicos:

• Iniciar un shell remoto: este comando otorga a los actores de amenazas acceso completo al dispositivo comprometido, lo que les permite ejecutar comandos y realizar actividades inseguras.
• Realizar actividades de transferencia de archivos: la puerta trasera facilita la carga y descarga de archivos, la manipulación básica de archivos y la enumeración de directorios, lo que permite a los actores de amenazas manipular datos en el dispositivo comprometido.
• Iniciar tunelización: Horse Shell puede iniciar la tunelización para ofuscar el destino y el origen del tráfico de red. Al ocultar la dirección del servidor C2, esta técnica ayuda a mantener el sigilo de las operaciones de los atacantes.

Los investigadores señalan que el implante de firmware de Horse Shell no se limita a un tipo distinto de firmware, sino que es independiente del firmware. Por lo tanto, en teoría, podría usarse potencialmente en imágenes de firmware para enrutadores de varios proveedores.

No sorprende que los piratas informáticos patrocinados por el estado se dirijan a enrutadores mal protegidos. Los enrutadores a menudo son el objetivo de las redes de bots para actividades como ataques distribuidos de denegación de servicio (DDoS) u operaciones de criptominería. Estos ataques aprovechan las medidas de seguridad de los enrutadores que a menudo se pasan por alto, lo que permite que los dispositivos comprometidos sirvan como plataformas de lanzamiento discretas para actividades dañinas mientras ocultan el origen del atacante.