Grup peretasan yang disponsori negara China bernama “Camaro Dragon” menginfeksi router TP-Link perumahan dengan malware “Horse Shell” khusus yang digunakan untuk menyerang organisasi urusan luar negeri Eropa.
Malware backdoor disebarkan dalam firmware khusus dan berbahaya yang dirancang khusus untuk router TP-Link sehingga peretas dapat meluncurkan serangan yang tampaknya berasal dari jaringan perumahan.
“Perlu dicatat bahwa serangan semacam ini tidak ditujukan secara khusus pada jaringan sensitif, melainkan pada jaringan perumahan dan rumah biasa,” jelas laporan Check Point.
“Oleh karena itu, menginfeksi router rumah tidak berarti bahwa pemilik rumah adalah target tertentu, tetapi perangkat mereka hanyalah alat untuk mengakhiri penyerang.”
Malware yang disebarkan memungkinkan pelaku ancaman akses penuh ke perangkat, termasuk menjalankan perintah shell, mengunggah dan mengunduh file, dan menggunakannya sebagai proxy SOCKS untuk menyampaikan komunikasi antar perangkat.
Implan firmware Horse Shell TP-Link ditemukan oleh Penelitian Titik Periksa pada Januari 2023, yang mengatakan aktivitas peretas tumpang tindih dengan grup peretasan “Mustang Panda” China yang baru-baru ini dirinci dalam Avast Dan ESET laporan.
Check Point melacak aktivitas ini secara terpisah menggunakan nama “Camaro Dragon” untuk kluster aktivitas meskipun memiliki kesamaan dan banyak tumpang tindih dengan Mustang Panda.
Atribusi dibuat berdasarkan alamat IP server penyerang, permintaan yang menampilkan header HTTP hard-coded yang ditemukan di berbagai situs web China, banyak kesalahan ketik dalam kode biner yang menunjukkan penulis bukan penutur asli bahasa Inggris, dan kesamaan fungsi trojan dengan implan router “Pakdoor” APT31.
Implan firmware TP-Link
Sementara Check Point belum menentukan bagaimana penyerang menginfeksi router TP-Link dengan gambar firmware berbahaya, mereka mengatakan itu bisa dengan mengeksploitasi kerentanan atau memaksa kredensial administrator.
Setelah pelaku ancaman mendapatkan akses admin ke antarmuka manajemen, mereka dapat memperbarui perangkat dari jarak jauh dengan gambar firmware khusus.
Melalui investigasi, Check Point menemukan dua sampel gambar firmware trojan untuk router TP-Link, keduanya berisi modifikasi ekstensif dan penambahan file.
Check Point membandingkan firmware TP-Link berbahaya dengan versi yang sah dan menemukan bahwa bagian kernel dan uBoot adalah sama. Namun, firmware berbahaya menggunakan sistem file SquashFS khusus yang berisi komponen file berbahaya tambahan yang merupakan bagian dari implan malware backdoor Horse Shell.
“Bagian-bagiannya secara internal diberi nama Horse Shell jadi kami menggunakannya untuk menamai implan secara keseluruhan. Implan memberi penyerang 3 fungsi utama: remote shell, transfer file, dan tunneling,” jelas Check Point.
Firmware juga memodifikasi panel web manajemen, mencegah pemilik perangkat mem-flash gambar firmware baru untuk router dan memastikan infeksi tetap ada.
Pintu belakang Cangkang Kuda
Ketika implan pintu belakang Horse Shell diinisialisasi, itu akan menginstruksikan OS untuk tidak menghentikan prosesnya ketika perintah SIGPIPE, SIGINT, atau SIGABRT dikeluarkan, dan diubah menjadi daemon untuk berjalan di latar belakang.
Backdoor kemudian akan terhubung ke server command and control (C2) untuk mengirim profil mesin korban, termasuk nama pengguna, versi OS, waktu, informasi perangkat, alamat IP, alamat MAC, dan fitur implan yang didukung.
Horse Shell sekarang akan diam-diam berjalan di latar belakang menunggu salah satu dari tiga perintah berikut:
- Mulai shell jarak jauh yang memberikan akses penuh kepada pelaku ancaman ke perangkat yang disusupi.
- Melakukan aktivitas transfer file, termasuk mengunggah dan mengunduh, manipulasi file dasar, dan pencacahan direktori.
- Mulai tunneling untuk mengaburkan asal dan tujuan lalu lintas jaringan dan sembunyikan alamat server C2.
Para peneliti mengatakan implan firmware Horse Shell adalah firmware-agnostik, sehingga secara teoritis dapat bekerja dalam gambar firmware untuk router lain oleh vendor yang berbeda.
Tidak mengherankan melihat peretas yang disponsori negara menargetkan router yang tidak aman, sering kali menjadi sasaran botnet untuk serangan DDoS atau operasi penambangan kripto. Ini karena router sering diabaikan saat menerapkan langkah-langkah keamanan dan dapat bertindak sebagai landasan peluncuran diam-diam untuk serangan, mengaburkan asal penyerang.
Pengguna disarankan untuk menerapkan pembaruan firmware terbaru untuk model router mereka untuk menambal kerentanan yang ada dan mengubah kata sandi admin default menjadi sesuatu yang kuat. Namun, yang lebih penting lagi, nonaktifkan akses jarak jauh ke panel admin perangkat dan jadikan hanya dapat diakses dari jaringan lokal.
Tema yang berulang
Perangkat jaringan edge telah menjadi target populer bagi aktor ancaman yang disponsori negara, dengan peretas China sebelumnya menargetkan Fortinet VPN Dan SonicWall SMA router dengan implan firmware khusus.
Baru-baru ini, badan keamanan siber NCSC Inggris dan CISA AS memperingatkan bahwa aktor ancaman yang disponsori negara Rusia juga melanggar router Cisco untuk menginstal malware khusus.
Karena perangkat ini umumnya tidak mendukung solusi keamanan EDR (Endpoint Detection and Response), pelaku ancaman dapat menggunakannya untuk mencuri data, menyebar secara lateral, dan melakukan serangan lebih lanjut dengan peluang deteksi yang lebih kecil.
“Ada tema berulang dari spionase siber nexus China yang terus berfokus pada peralatan jaringan, perangkat IOT, dll. yang tidak mendukung solusi EDR,” kata CTO Mandiant Charles Carmakal kepada BleepingComputer.
Untuk alasan ini, sangat penting bagi admin jaringan untuk menginstal semua patch keamanan yang tersedia di perangkat edge segera setelah tersedia dan tidak membuka konsol manajemen secara publik.
