Специалисты по кибербезопасности из SecurityScorecard выявили масштабную хакерскую кампанию, получившую кодовое название LapDogs. Группировка, предположительно связанная с Китаем, создала обширную сеть из более чем тысячи скомпрометированных устройств, которая служит инфраструктурой для проведения шпионских операций против организаций в США и странах Азиатско-Тихоокеанского региона.
Масштаб и география атак LapDogs
Вредоносная кампания была запущена в осенний период 2023 года и продолжает активно развиваться. Основными мишенями злоумышленников стали компании, работающие в стратегически важных отраслях: информационные технологии, медиасфера, сетевые технологии и рынок недвижимости.
Географический охват операции впечатляет своими масштабами. Помимо территории США, атакам подверглись организации в ключевых странах Юго-Восточной Азии, включая Японию, Южную Корею, Гонконг и Тайвань. Такой выбор целей указывает на геополитические мотивы кампании и стремление получить доступ к критически важной информации.
Технические особенности бэкдора ShortLeash
Ключевым инструментом злоумышленников служит специализированный бэкдор ShortLeash, разработанный специально для заражения сетевых маршрутизаторов. Данное вредоносное ПО обеспечивает хакерам скрытый и долгосрочный доступ к скомпрометированным устройствам, позволяя поддерживать присутствие в целевых сетях на протяжении длительного времени.
Особый интерес представляет тактика маскировки, применяемая создателями бэкдора. При установке на устройство ShortLeash генерирует самоподписанные TLS-сертификаты, выдавая себя за легитимную организацию под аббревиатурой «LAPD» — департамент полиции Лос-Анджелеса. Такой подход позволяет вредоносному трафику оставаться незамеченным при поверхностном анализе.
Уязвимые устройства и эксплуатируемые бреши
Анализ зараженной инфраструктуры показал, что основную долю скомпрометированных устройств составляют точки доступа Ruckus Wireless и беспроводные маршрутизаторы Buffalo Technology AirStation. Выбор именно этих моделей обусловлен наличием в них устаревших SSH-служб с критическими уязвимостями.
Злоумышленники активно эксплуатируют две известные бреши безопасности: CVE-2015-1548 и CVE-2017-17663. Несмотря на то, что данные уязвимости были обнаружены и описаны несколько лет назад, многие устройства до сих пор остаются незащищенными из-за отсутствия своевременных обновлений прошивки.
Связь с другими хакерскими операциями
Исследователи установили возможные связи между кампанией LapDogs и другой крупной операцией под названием PolarEdge. Последняя представляет собой ORB-сеть (Operational Relay Box), включающую более 2000 зараженных маршрутизаторов и IoT-устройств, которая функционирует с 2023 года.
Предварительный анализ указывает на возможную связь обеих операций с китайской APT-группировкой UAT-5918. Ранее специалисты Cisco Talos связывали данную группу с такими известными кампаниями, как Volt Typhoon, Flax Typhoon, Earth Estries и Dalbit.
Стратегия скрытности и долгосрочного присутствия
Ключевой особенностью операции LapDogs является фокус на создании скрытой и надежной инфраструктуры вместо проведения шумных разрушительных атак. Скомпрометированные устройства продолжают функционировать в штатном режиме, что значительно усложняет их обнаружение и атрибуцию.
Такой подход позволяет злоумышленникам поддерживать долгосрочное присутствие в целевых сетях и использовать зараженные устройства как гибкую инфраструктуру для различных типов вредоносной активности. Созданная сеть может служить оперативным прикрытием для будущих кибершпионских операций.
Обнаружение кампании LapDogs подчеркивает важность регулярного обновления сетевого оборудования и мониторинга сетевой активности. Организациям следует уделить особое внимание защите периферийных устройств, которые часто остаются вне поля зрения систем безопасности, но могут служить входной точкой для серьезных кибератак. Своевременное применение патчей безопасности и использование современных решений для обнаружения угроз поможет минимизировать риски компрометации корпоративной инфраструктуры.
