Bezpečnostní experti objevili síť více než 1 000 kompromitovaných zařízení pro malé kanceláře a domácí kanceláře (SOHO), která byla použita k usnadnění dlouhodobé infrastrukturní kampaně kybernetické špionáže pro hackerské skupiny spojené s Čínou.

Síť Operational Relay Box (ORB) byla týmem STRIKE společnosti SecurityScorecard kódově označena jako LapDogs.

„Síť LapDogs má vysokou koncentraci obětí ve Spojených státech a jihovýchodní Asii a pomalu, ale jistě roste,“ uvedla společnost zabývající se kybernetickou bezpečností v technické zprávě.

Dalšími oblastmi, kde jsou infekce rozšířené, jsou Japonsko, Jižní Korea, Hongkong a Tchaj-wan, přičemž oběti se nacházejí v IT, síťovém, realitním a mediálním sektoru. Aktivní infekce postihují zařízení a služby od společností Ruckus Wireless, ASUS, Buffalo Technology, Cisco-Linksys, Cross DVR, D-Link, Microsoft, Panasonic a Synology.

Srdcem LapDogs je vlastní backdoor nazvaný ShortLeash, který je navržen tak, aby zařadil infikovaná zařízení do sítě. Jakmile je nainstalován, nastaví falešný webový server Nginx a vygeneruje jedinečný, samo-podepsaný TLS certifikát s názvem vydavatele „LAPD“ ve snaze napodobit policejní oddělení Los Angeles. Právě tato zmínka dala síti ORB její jméno.

ShortLeash je doručován pomocí shell skriptu, aby pronikl především do zařízení SOHO založených na Linuxu, ačkoli byly nalezeny i artefakty sloužící k verzi backdooru pro Windows. Samotné útoky využívají N-day bezpečnostní zranitelnosti (např. CVE-2015-1548 a CVE-2017-17663) k získání počátečního přístupu.

První známky aktivity spojené s LapDogs byly detekovány již 6. září 2023 na Tchaj-wanu, s druhým útokem zaznamenaným o čtyři měsíce později, 19. ledna 2024. Existují důkazy naznačující, že kampaně jsou spouštěny v dávkách, z nichž každá infikuje nejvýše 60 zařízení.

Zdroj: The Hacker News