Китайские хакеры создали глобальную сеть шпионских маршрутизаторов, превратив более 1000 устройств SOHO в инструменты кибершпионажа в рамках кампании LapDogs. Источник: securityaffairs
Как сообщили эксперты компании SecurityScorecard, эта скрытая сеть под названием Operational Relay Box (ORB) используется для проведения долгосрочных операций, связанных с китайскими группами APT, в частности с группой UAT-5918. Целями кампании стали США и страны Юго-Восточной Азии, включая Японию, Южную Корею, Гонконг и Тайвань.
Исследователи обнаружили вредоносное ПО ShortLeash на базе Linux, которое автоматически устанавливается на взломанных устройствах с правами администратора, меняет системные службы для маскировки и сохраняет присутствие после перезагрузки. После установки оно создает зашифрованный канал связи с управляющим сервером, имитируя ответы Nginx и изменяя параметры запросов для сокрытия активности. Вредоносное ПО совместимо с разными системами и может заразить маршрутизаторы и устройства от ASUS, D-Link, Microsoft, Panasonic, Synology и других производителей.
В ходе анализа специалисты выяснили, что многие взломанные устройства работают на уязвимых версиях ПО, таких как mini_httpd, GoAhead и DropBearSSH, которые содержат известные дыры безопасности CVE-2015-1548 и CVE-2017-17663. С помощью анализа времени генерации сертификатов и номеров портов исследователи выделили 162 группы зараженных устройств, каждая из которых показывала организованное и целенаправленное поведение. Более 95% устройств в ряде групп были подключены через одного интернет-провайдера или находились в одном городе, что указывает на стратегический подход хакеров.
Согласно отчету, LapDogs не является случайной кампанией: она ведется минимум с сентября 2023 года, при этом большинство групп небольшие, до 60 устройств каждая. Хакеры явно сосредотачиваются на США и Юго-Восточной Азии, выбирая жертв в определенных регионах и тщательно планируя атаки. Вредоносное ПО ShortLeash также зафиксировано на виртуальных серверах и машинах с Windows, включая даже устаревшие версии Windows XP, что демонстрирует гибкость и широкий охват кампании.
Хотя сеть ORB напоминает другую китайскую кампанию PolarEdge, LapDogs отличается способом заражения, поддержкой устойчивости и более широкой инфраструктурой, которая охватывает не только маршрутизаторы, но и VPS и системы Windows. Эксперты считают, что сеть ORB используется сразу несколькими группами, но наибольшие доказательства указывают на китайскую UAT-5918, особенно из-за наличия китайских фраз в коде и целенаправленных атак на Тайвань.
Специалисты SecurityScorecard предупреждают, что LapDogs демонстрирует растущий интерес китайских хакеров к использованию сетей ORB для проведения скрытых операций по всему миру. Они призвали службы кибербезопасности быть особенно бдительными, поскольку подобные кампании затрудняют традиционные методы выявления угроз и устранения последствий атак.
Напомним, ранее Google раскрыл шпионскую кампанию Китая, нацеленную на маршрутизаторы Juniper.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet