Cybersecurity-Experten von SecurityScorecard haben eine umfangreiche Hacking-Kampagne namens LapDogs aufgedeckt, die mutmaßlich von chinesischen Akteuren orchestriert wird. Die Angreifer haben ein Botnet aus über 1000 kompromittierten Netzwerkgeräten aufgebaut, das als Infrastruktur für Spionageoperationen gegen Organisationen in den USA und im asiatisch-pazifischen Raum dient.
Umfang und Zielauswahl der LapDogs-Operation
Die Malware-Kampagne wurde im Herbst 2023 gestartet und zeigt kontinuierliche Aktivität. Die Angreifer konzentrieren sich auf strategisch wichtige Branchen wie Informationstechnologie, Medien, Netzwerktechnologien und Immobiliensektor. Diese Sektorauswahl deutet auf staatlich gesponserte Aktivitäten hin, die darauf abzielen, sensible Geschäfts- und Infrastrukturdaten zu sammeln.
Die geografische Verteilung der Angriffe erstreckt sich über die USA hinaus auf wichtige Länder Südostasiens, darunter Japan, Südkorea, Hongkong und Taiwan. Diese Zielauswahl spiegelt geopolitische Interessen wider und zeigt das Bestreben der Angreifer, Zugang zu kritischen Informationen in wirtschaftlich und strategisch bedeutsamen Regionen zu erlangen.
ShortLeash Backdoor: Technische Analyse der Malware
Das Herzstück der Operation bildet die spezialisierte Backdoor-Malware ShortLeash, die gezielt für die Infektion von Netzwerk-Routern entwickelt wurde. Diese Schadsoftware ermöglicht den Angreifern dauerhaften und verdeckten Zugriff auf kompromittierte Geräte, wodurch sie eine langfristige Präsenz in den Zielnetzwerken aufrechterhalten können.
Besonders raffiniert ist die Tarnungsstrategie der Malware: ShortLeash generiert selbstsignierte TLS-Zertifikate und gibt sich als legitime Organisation mit der Abkürzung „LAPD“ (Los Angeles Police Department) aus. Diese Verschleierungstechnik erschwert die Erkennung des bösartigen Datenverkehrs bei oberflächlichen Analysen erheblich.
Betroffene Geräte und ausgenutzte Sicherheitslücken
Die Analyse der kompromittierten Infrastruktur zeigt, dass hauptsächlich Ruckus Wireless Access Points und Buffalo Technology AirStation Wireless Router betroffen sind. Diese Geräteauswahl ist strategisch motiviert, da beide Modellreihen veraltete SSH-Dienste mit bekannten kritischen Schwachstellen aufweisen.
Die Angreifer nutzen systematisch zwei dokumentierte Sicherheitslücken aus: CVE-2015-1548 und CVE-2017-17663. Obwohl diese Vulnerabilitäten bereits seit Jahren bekannt sind, bleiben viele Geräte aufgrund fehlender Firmware-Updates weiterhin angreifbar. Diese Situation verdeutlicht die Problematik unzureichender Patch-Management-Praktiken in Unternehmensnetzwerken.
Verbindungen zu anderen Cyberoperationen
Sicherheitsforscher haben mögliche Zusammenhänge zwischen der LapDogs-Kampagne und der größeren PolarEdge-Operation identifiziert. PolarEdge stellt ein ORB-Netzwerk (Operational Relay Box) dar, das über 2000 infizierte Router und IoT-Geräte umfasst und seit 2023 aktiv ist.
Vorläufige Analysen deuten auf Verbindungen zur chinesischen APT-Gruppe UAT-5918 hin. Cisco Talos hatte diese Gruppe bereits mit bekannten Kampagnen wie Volt Typhoon, Flax Typhoon, Earth Estries und Dalbit in Verbindung gebracht, was auf ein koordiniertes Vorgehen verschiedener chinesischer Cyber-Einheiten hindeutet.
Stealth-Strategie und persistente Bedrohung
Ein charakteristisches Merkmal der LapDogs-Operation ist der Fokus auf Aufbau einer verdeckten und zuverlässigen Infrastruktur anstelle spektakulärer destruktiver Angriffe. Die kompromittierten Geräte funktionieren weiterhin normal, was ihre Entdeckung und Attribution erheblich erschwert.
Diese Herangehensweise ermöglicht es den Angreifern, eine dauerhafte Präsenz in Zielnetzwerken zu etablieren und die infizierten Geräte als flexible Plattform für verschiedene Arten bösartiger Aktivitäten zu nutzen. Das etablierte Netzwerk kann als operative Tarnung für zukünftige Cyber-Spionage-Operationen dienen.
Die Entdeckung der LapDogs-Kampagne unterstreicht die kritische Bedeutung regelmäßiger Netzwerkgerät-Updates und kontinuierlicher Netzwerküberwachung. Organisationen sollten besondere Aufmerksamkeit auf den Schutz von Edge-Geräten legen, die oft außerhalb des Fokus von Sicherheitssystemen stehen, aber als Einstiegspunkte für schwerwiegende Cyberangriffe dienen können. Zeitnahe Sicherheits-Patches und moderne Threat-Detection-Lösungen sind essentiell, um Risiken einer Infrastruktur-Kompromittierung zu minimieren.
