SecurityScorecard’daki siber güvenlik uzmanları, Eylül 2023’ten bu yana dünya çapında bilinmeyen sayıda cihazı (muhtemelen binlerce) tehlikeye atan Lapdogs olarak adlandırılan yaygın bir siber casusluk operasyonu keşfetti.
Muhtemelen Çin merkezli bir gruptan kaynaklanan bu gizli kampanya, öncelikle ABD, Japonya, Güney Kore, Tayvan ve Hong Kong’u hedefleyen uzun vadeli gözetim ve veri hırsızlığına odaklanmaktadır.
Günlük cihazlardan yararlanmak
SecurityScorecard’ın grev ekibinin araştırmasına göre, hızlı erişimi hedefleyen tipik siber saldırıların aksine, LAPDOGS, uzmanların operasyonel röle kutuları (küreler) dediği akıllı bir yöntem kullanıyor. ORB, saldırganların trafiğini gizlice yönlendirmek için kullandıkları, genellikle küçük bir ofis/ev ofisi (SOHO) yönlendirici veya Nesnelerin İnterneti (IoT) bir cihazıdır.
Soho yönlendiricileri, küçük işletmelerde veya evlerde kullanılan ve birden fazla cihazı internete bağlayanlardır. Bu günlük cihazları, özellikle Ruckus Wireless (tehlikeye atılan donanımın yaklaşık% 55’ini oluşturma) ve Buffalo teknolojisi gibi şirketlerden gelen eski modelleri kullanarak saldırganlar faaliyetlerini gizleyebilir ve aylarca algılamadan kaçınabilir.
Bu savunmasız cihazlar genellikle modası geçmiş veya açılmamış ürün yazılımı çalıştırır ve mini_httpd, varsayılan ayarlarla gömülü yönetim araçları gibi hizmetleri ortaya çıkarabilir, OpenSSHveya DropBear SSH.
Lapdogs işleminin önemli bir kısmı Shortleash adlı özel bir araçtır. Bu, saldırganlara, ağlardaki sessiz kontrol, kalıcılık ve yanal hareket sağlayan enfekte bilgisayarlar ve ağlar üzerinde gizli kontrol sağlayan kötü niyetli bir program veya arka kapıdır.
Shortleash’ın Linux sürümü, ilgili dizinlere kötü amaçlı bir hizmet dosyası yerleştirmek için Ubuntu veya CentOS’u kontrol eden bir BASH komut dosyası tarafından dağıtılır. Shortleash yükünün kendisi, yapılandırması için sertifikalar, özel anahtarlar ve URL içeren iki katmanlı bir şifre çözme işlemine sahiptir.
Ayrıca Nginx yanıtını simüle eden bir sunucu çalıştırır ve C2 sunucularıyla iletişim kurarken rastgele sabit kodlu sorgu parametreleri kullanır. Pistlerini daha da ele almak için Shortleash, Los Angeles Emniyet Müdürlüğü’nden (LAPD) görünen sahte güvenlik sertifikaları bile oluşturuyor.
TLS sertifikası, web siteleri için dijital kimlik kartı gibi internet iletişimini güvence altına almaya yardımcı olan dijital bir belgedir. Bunları taklit ederek, saldırganlar eylemlerini meşru gösteriyor. Araştırmacılar ayrıca, bazı ortak coğrafi konumları veya ISS’leri paylaşan 162 farklı saldırı seti gözlemlediler.
LAPDOGS kampanyası, İnternet Servis Sağlayıcıları (ISS), donanım üreticileri ve bu konuda ağ oluşturma, gayrimenkul ve medya gibi işletmeler de dahil olmak üzere çeşitli kuruluşlara sızdı. Araştırmacılar, saldırganların çok odaklandıklarını, saldırılarını belirli hedeflere dikkatlice planladıklarına dair işaretlerle belirttiler.
Bu nedenle, bu endüstrilerden çalışanlar için BT yöneticilerinin yamalar kurarak gözetleme ve güvenlik açıklarını düzeltmeleri gerekmektedir. Güncellemeler mevcut değilse, farklı ve daha güvenli bir cihaza geçin.