Tehdit avcıları, Çin-Nexus hack grupları için uzun süreli bir siber casusluk altyapısı kampanyasını kolaylaştırmak için kullanılan 1000’den fazla tehlikeye atılmış küçük ofis ve ev ofisi (SOHO) cihazdan oluşan bir ağ keşfetti.
Operasyonel Röle Kutusu (Orb) ağına kodlanmıştır Dizginler SecurityScorecard’ın grev ekibi tarafından.
Siber güvenlik şirketi bu hafta yayınlanan bir teknik raporda, “Lapdogs ağı, ABD ve Güneydoğu Asya’da yüksek bir kurban yoğunlaşmasına sahip ve yavaş ama sürekli büyüyor.” Dedi.
Enfeksiyonların yaygın olduğu diğer bölgeler arasında Japonya, Güney Kore, Hong Kong ve Tayvan, kurbanları, ağ oluşturma, gayrimenkul ve medya sektörleri bulunmaktadır. Aktif enfeksiyonlar, Ruckus Wireless, ASUS, Buffalo Technology, Cisco-Linksys, Cross DVR, D-Link, Microsoft, Panasonic ve Synology’den cihaz ve hizmetleri kapsamaktadır.
Lapdogs’un Beating Heart, ağa enfekte olmuş cihazları askere etmek için tasarlanmış Shortleash adlı özel bir arka kapıdır. Yüklendikten sonra, sahte bir Nginx web sunucusu kurar ve Los Angeles Emniyet Müdürlüğü’nü taklit etmek amacıyla “LAPD” adlı adıyla benzersiz, kendi kendine imzalanmış bir TLS sertifikası oluşturur. Orb ağına adını veren bu referans.
Shortleash’ın öncelikle Linux tabanlı Soho cihazlarına nüfuz etmek için bir kabuk komut dosyası aracılığıyla teslim edildiği değerlendirilir, ancak arka kapağın bir Windows sürümüne hizmet veren eserler de bulunur. Saldırıların kendileri, ilk erişimi elde etmek için N-Day güvenlik açıklarını (örneğin, CVE-2015-1548 ve CVE-2017-17663) silahlandırıyor.
Lapdogs ile ilgili ilk faaliyet belirtileri, Tayvan’da 6 Eylül 2023’e kadar tespit edildi, ikinci saldırı dört ay sonra 19 Ocak 2024’te kaydedildi. Kampanyaların her biri 60’den fazla cihaz bulaşmayan gruplarda başlatıldığını öne sürecek kanıtlar var. Bugüne kadar toplam 162 farklı saldırı seti tanımlanmıştır.
ORB’nin, bu Şubat ayının başlarında Sekoia tarafından, yönlendiriciler ve diğer IoT cihazlarında bilinen güvenlik kusurlarını 2023’ün sonlarından bu yana bir ağ haline getirmeleri için yönlendirilen bir ağa yönlendirme olarak belgelenen başka bir küme ile bazı benzerlikleri paylaştığı bulunmuştur.
Çakışmalar bir kenara, Lapdogs ve Polaredge, enfeksiyon sürecindeki farklılıklar, kullanılan kalıcılık yöntemleri ve birincisinin sanal özel sunucuları (VPSS) ve Windows sistemlerini hedefleme yeteneği göz önüne alındığında iki ayrı varlık olarak değerlendirilir.
Secriforecard, “Polaredge Backdoor, cihazların CGI komut dosyasını operatörün belirlenmiş webshell’iyle değiştirirken, Shortleash sadece bir .service dosyası olarak kendisini sistem dizinine ekleyerek, yeniden başlatma sırasında hizmetin devam etmesini sağlıyor.”
Dahası, UAT-5918’in Tayvan’a yönelik operasyonlarından en az birinde lapdogs kullandığı için Çin bağlantılı hack mürettebatının izlenmesi orta güvenle ölçüldü. Şu anda UAT-5918’in ağın arkasında olup olmadığı veya sadece bir müşteri olup olmadığı bilinmemektedir.
Çin tehdidi aktörlerinin ORB ağlarını bir şaşkınlık aracı olarak kullanması daha önce Google Mantian, Sygnia ve Sentinelone tarafından belgelenmiş ve bu da yüksek hedefli operasyonlar için oyun kitaplarına giderek daha fazla kabul edildiklerini göstermektedir.
“Hem küreler hem de botnetler genellikle büyük bir uzlaşmış, meşru internete bakan cihazlardan veya sanal hizmetlerden oluşurken, ORB ağları daha çok İsviçre Ordusu bıçaklarına benziyor ve keşif, anonimleştirilmiş aktör göz atma ve netflow koleksiyonuna, port ve netflowing koleksiyonuna kadar netleştirme, hatta netleşmeye katkıda bulunabilir, hatta nüklüye girebilir, örgütlenmeye başlayabilir, Sunucular ve akışın akışını aktardı. “