Siber savaş / ulus-devlet saldırıları, uç nokta güvenliği, sahtekarlık yönetimi ve siber suç
Shortleash Backdoor Hacks Soho Linux Cihazları
Prajeet Nair (@prajeaetspeaks) •
23 Haziran 2025
Muhtemelen Çin ulus -devlet korsanları, Ruckus kablosuz ev yönlendiricileri de dahil olmak üzere Nesnelerin İnterneti cihazlarını operasyonel bir röle kutusu ağına dönüştürüyor – neredeyse kesinlikle siber boyama için kullanılan daha fazla dijital altyapı oluşturuyor.
Ayrıca bakınız: Panel | Siber saldırılar artıyor – ve siber sigorta oranları hızla yükseliyor
SecurityScorecard’dan araştırmacılar, Hacker’ların Los Angeles Emniyet Müdürlüğü’nden kaynaklanan sahte, kendi kendine imzalı bir TLS sertifikasını kullanmasında bir oyun olan ORB “Lapdogs” dub. ORB’nin arkasındaki bilgisayar korsanları Eylül 2023’ten beri inşa ediyor.
İstihbarat ajansları dünya üzerinde küresel aktiviteleri gizlemek için küresel faaliyetleri gizlemek için küreler kullanıyor. Enfekte cihazlar meşru trafiği yönlendirmeye devam ettiğinden, temelde yatan kötü amaçlı veri iletiminin tespit edilmesi zordur. Özellikle Çin siberlik grupları, aktiviteyi anonimleştirme, düğümleri evreleme veya komuta ve kontrol sunucularına yeniden yapılandırma ve çalıntı verileri anakaraya geri aktarma yetenekleri için Orb binasını aldı (bkz: bkz: Orb Ağ Saldırılarına Bağlı Çin Siber Teslim Grupları).
Mandarin’de “Shortleash” adlı özel bir arka kapı güvenlik suyunda yazılmış geliştirici notları gibi adli kanıtlar, artı araçlar, teknikler ve prosedürler bir Çinli aktöre atıfta bulunuyor.
Saldırganlar, Amerika Birleşik Devletleri, Japonya, Güney Kore, Tayvan ve Hong Kong’daki Linux merkezli yönlendiricilere ve IoT cihazlarına odaklanıyor. Sahte bir LAPD web sertifikasının varlığıyla ortaya çıkarıldığı gibi, yaklaşık 1.100 bilinen enfekte cihazın yarısından biraz fazlası Kaliforniya merkezli Ruckus Wireless tarafından yapılan erişim noktası cihazlarıdır. Saldırganlar ayrıca Japonya merkezli Buffalo Technology tarafından yapılan kablosuz yönlendiriciyi de hedef aldı. Enfekte cihazların büyük bir kısmı, programcı JEF Poskanzer olarak bilinen “ACME Laboratories” tarafından yapılan cihazlara gömülü küçük, açık kaynaklı bir HTTP sunucusunda kusurlara karşı savunmasızdır. Kusurlar, CVE-2015-1548 ve CVE-2017-17663, her ikisi de tampon belleği aşılan hatalardır. Cihazlar ayrıca genellikle eski ve eşleştirilmemiş güvenli kabuk hizmetlerini çalıştırır.
Shortleash Backdoor, kök ayrıcalıkları talep eden bir başlangıç bash betiği aracılığıyla yürütülür. Ubuntu veya Centos ortamlarını kontrol eder ve kötü niyetli bir .service Kalıcılık için ilgili sistem dizininde dosya. Şifreli yedeklemeler oluşturur, arka plan hizmeti olarak çalışır ve yeniden başlatmalardan kurtulur. İşletim sistemi desteklenmezse, komut dosyası bir Çin kökenini öneren birkaç göstergeden biri olan bir Mandarin dili hatası yazdırır.
Etkinleştirmeden sonra, Shortleash Nginx’i taklit eden bir web sunucusunu döndürür ve TLS sertifikası LAPD meta verilerini taklit eder.
Lapdogs ağı sessizce büyüdü ve kampanya dalgası başına 60’dan fazla cihazı bulaşmadı. Kötü amaçlı hizmetler için bağlantı noktası numaraları merkezi olarak atanır ve ayrıca operatör düzeyinde koordinasyon önerir. İzinsiz giriş setlerinin yaklaşık üçte biri, paylaşılan ISS veya şehir düzeyinde desenler gösterir ve yerelleştirilmiş görev teorisini güçlendirir.
Güvenlik Saklığı, diğer tehdit araştırmacılarının ShortLeash etkinliğini tespit ettiklerini söylüyor. Cisco Talos, Mart ayındaki faaliyette tanımladı. Talos, aktivitenin yaygın olarak Volt Typhoon ve Keten Typhoon olarak izlenen bilinen Çin siberislik gruplarıyla benzerlikleri olduğunu buldu. Birden fazla aktivite merkezinde görülen ortak takımları ve TTP’leri açıklamak için kullanılan yaygın olarak tutulan bir Çin hack teorisi, merkezi bir organizasyonun istismarları birden fazla siber boyama hackleme gruplarına yaydığını öne sürüyor.