SecurityScorecard’ın grev ekibi, Lapdogs adını verdikleri tehlikeye atılmış küçük ofis ve ev ofis (SOHO) cihazlarından oluşan bir ağ ortaya çıkardı. Tehdit, Çin-Nexus tehdit aktörlerinin operasyonlarını gizlemek için operasyonel röle kutusu (ORB) ağlarını nasıl kullandıklarında daha geniş bir değişimin bir parçası.
Hedeflenen donanım ve ürün yazılımı satıcıları
Genellikle gürültülü ve dağılım olan geleneksel botnetlerin aksine, küreler daha hedeflenir. Ağlar boyunca hareket etmek, veri toplamak veya alarm oluşturmadan trafiği sıçramak için yönlendiriciler, IP kameralar ve eski akıllı teknoloji gibi günlük cihazları yeniden kullanırlar. Lapdogs hakkında öne çıkan şey, özellikle ABD, Japonya, Güney Kore, Tayvan ve Hong Kong’da Linux merkezli Soho Gear’a odaklanmasıdır.
Operasyonun merkezinde, saldırganlara kök seviyesi erişim sağlayan ve kalıcılık sağlayan Shortleash adlı özel bir arka kapı var. Yüklendikten sonra, sahte bir Nginx web sunucusu kurar ve LAPD’yi sahte bir TLS sertifikası oluşturur. Bu sertifika anahtar bir parmak izi haline geldi ve araştırmacıların dünya çapında 1000’den fazla enfekte düğümü izlemelerine yardımcı oldu.
Küçük ölçekli, stratejik büyüme
Araştırmacılar, kampanyaların toplu olarak başlatıldığına dair kanıtlar buldular ve hızlı patlamalarla oluşturulan sertifikalar. Bazı günlerde sadece bir ülke hedeflendi. Diğerlerinde, aynı anda birkaç bölge vuruldu, ancak enfekte olmuş tüm düğümler aynı bağlantı noktası numarasını kullandı. Bu kalıplar, savunucuların izinsiz giriş setlerini zaman ve limana bağlamasına izin verir, bu da ilgili enfeksiyonları gruplandırmaya ve araştırmaları hızlandırabilir.
Bazı durumlarda, cihazlar aynı sertifikayı iki IP’de paylaştı. Bu, birden çok arayüzü veya birkaç amaç için kullanılan tek bir cihazı gösterebilir. Her iki durumda da, operatörler tarafından yüksek bir kontrol seviyesine işaret ediyor.
Neden Soho Cihazları? Çünkü kolaylar
Lapdogs çoğunlukla eski yönlendiricileri ve modern veya eşleştirilmemiş ürün yazılımı çalıştıran cihazları hedefler. Raporda tanımlanan tehlikeye atılan donanımın yaklaşık% 55’i Ruckus Wireless’tan geldi. Buffalo Airstation yönlendiricileri de özellikle Japonya’da ortak bir hedefti.
Bu cihazlardaki ortak iş parçacığı, mini_httpd gibi hafif web sunucularının ve genellikle varsayılan ayarlarla gönderilen gömülü yönetim araçlarının kullanılmasıdır. Bazı cihazlar hala 2000’li yılların başından itibaren yazılım çalışıyordu. Diğerleri OpenSsh veya Dropbear SSH hizmetleri vardı. Bunlar genellikle denetimlerde ve yama döngülerinde göz ardı edilir, bu da onları kolay hedefler yapar.
SecurityScorecard’ın Saha Şefi Tehdit İstihbarat Sorumlusu Ryan Sherstobitoff, yardım net güvenliğine gayrimenkul ve medya gibi sektörlerdeki CISOS’un daha agresif bir duruş alması gerektiğini söyledi. Bu endüstriler genellikle gizli riskler yaratabilen çok sayıda üçüncü taraf tarafından yönetilen kenar cihazlarına güvenir.
“Cihazlar güvenli varsayılanlar, yerleşik telemetri ve yama kabiliyeti ile gelmelidir” diyor Sherstobitoff. “Bu kampanyada defalarca tehlikeye atılan Ruckus ve Buffalo Airstation gibi eski yönlendiricilerin aşamalı olarak kaldırılması gerekiyor.”
Ayrıca tedarik ve satıcı yönetimi uygulamalarında değişiklikler önermektedir. “CISOS, satıcıların mini_httpd veya dropbearssh gibi eski hizmetleri düzenli olarak taramasını ve merkezi izlemeyi desteklemelerini gerektirmelidir” diyor. “Ağ segmentasyon politikaları soho sınıf cihazlarını çekirdek sistemlerden açıkça ayırmalıdır.”
Sherstobitoff, yönetilen hizmet anlaşmalarının görünürlük boşluğunu ele alması gerektiğini de sözlerine ekledi. “Üçüncü taraf sağlayıcıların kontrolü altındaki bir cihaz tehlikeye girmesi durumunda sizi uyarmasını gerektiren ihlal bildirim maddeleri ekleyin. Bu tür bir risk, özellikle LAPDOG’lar gibi ORB operatörleri söz konusu olduğunda, ortamınıza hala yansır.”
Lapdogs atıf
Grev ekibi belirli bir tehdit oyuncusu adlandırmadı. Ancak, birkaç ipucu bir Çin-Nexus grubuna işaret ediyor. Bunlar, kod yorumlarında Mandarin kullanımı, hedeflenen bölgeler ve Çin casusluk çabalarıyla bağlantılı geçmiş kampanyalarla eşleşen taktikleri içerir. Cisco Talos daha önce Tayvanlı kritik altyapıya yönelik saldırılarda LAPDOGS altyapısı kullanmış olabilecek UAT-5918 adlı bir grup tanımlamıştı.
UAT-5918’in lapdogs çalıştırıp kullanmadığı veya basitçe kullanıp kullanmadığı belirsizdir. Ne olursa olsun, yapılandırılmış kampanya planlaması ve tutarlı hedefleme kalıpları iyi organize edilmiş bir operasyon önermektedir.
Cisos ne yapmalı
Shstobitoff, “Lapdogs’un gizli doğası ve SOHO cihazlarını sıklıkla EDR kapsamı dışında hedeflemesi göz önüne alındığında, CISOS, MSSP’lerin ve SOC’lerin Pasif TLS sertifika denetimi ve Jarm parmak izi eşleştirmesini, özellikle LAPD ve eşleşen jar gibi taklit eden eşyaları taklit eden benzersiz sertifikalarla işaretlemelerini talep etmelidir.”
“Netflow ve DNS telemetri, C2 alanlarına anormal giden trafiği tespit etmek için de gözden geçirilmelidir. Northumbra[.]com42532 veya diğer nadir yüksek bağlantı noktaları gibi bağlantı noktaları, gömülü veya yönetilmeyen cihazlarda görüldüğünde uyarıları tetiklemelidir. SOCS, temel kenar cihaz davranışı olmalı ve sahte Nginx pankartları veya ShortLeSh implantının varlığını gösterebilecek beklenmedik web hizmetleri için aktif olarak avlanmalıdır ”dedi.