Експерти з кібербезпеки компанії SecurityScorecard виявили потужну хакерську операцію під назвою LapDogs, яка демонструє нові рівні складності в сучасних кіберзагрозах. Ця кампанія, імовірно пов’язана з китайськими APT-групами, створила розгалужену мережу з більш ніж тисячі заражених пристроїв для проведення шпигунських операцій проти американських та азійських організацій.
Стратегічні цілі та географія кіберопераціі
Кампанія LapDogs була ініційована у жовтні 2023 року та залишається активною досі. Зловмисники сфокусувалися на організаціях у критично важливих секторах економіки: інформаційних технологіях, медіа-індустрії, телекомунікаціях та нерухомості. Вибір цих галузей вказує на прагнення отримати доступ до стратегічно цінної корпоративної інформації.
Географічний розподіл атак охоплює США та ключові країни Азійско-Тихоокеанського регіону, включаючи Японію, Південну Корею, Гонконг та Тайвань. Такий вибір цілей свідчить про геополітичну мотивацію операції та намагання збирати розвідувальну інформацію у стратегічно важливих регіонах.
Технічний аналіз бекдора ShortLeash
Центральним елементом атаки є спеціалізований бекдор ShortLeash, призначений для інфікування мережевих маршрутизаторів. Це шкідливе програмне забезпечення забезпечує зловмисникам постійний та прихований доступ до скомпрометованих пристроїв, дозволяючи підтримувати довготривалу присутність у цільових мережах.
Особливо цікавою є тактика маскування, застосована розробниками. При встановленні ShortLeash генерує самопідписані TLS-сертифікати, видаючи себе за легітимну організацію під абревіатурою “LAPD” – департамент поліції Лос-Анджелеса. Цей підхід дозволяє шкідливому трафіку залишатися непоміченим під час базового аналізу мережевої активності.
Вразливі пристрої та експлуатовані уразливості
Дослідження інфікованої інфраструктури показало, що переважну більшість скомпрометованих пристроїв становлять точки доступу Ruckus Wireless та бездротові маршрутизатори Buffalo Technology AirStation. Вибір саме цих моделей обумовлений наявністю в них застарілих SSH-служб з критичними вразливостями.
Хакери активно експлуатують дві відомі бреші безпеки: CVE-2015-1548 та CVE-2017-17663. Незважаючи на те, що ці уразливості були виявлені кілька років тому, багато пристроїв залишаються незахищеними через відсутність своєчасних оновлень мікропрограмного забезпечення.
Зв’язки з іншими кіберопераціями
Аналітики встановили можливі зв’язки між кампанією LapDogs та іншою масштабною операцією PolarEdge. Остання являє собою ORB-мережу (Operational Relay Box), що включає понад 2000 інфікованих маршрутизаторів та IoT-пристроїв, активну з 2023 року.
Попередній аналіз вказує на можливий зв’язок обох операцій з китайською APT-групою UAT-5918. Раніше експерти Cisco Talos пов’язували цю групу з такими відомими кампаніями, як Volt Typhoon, Flax Typhoon, Earth Estries та Dalbit.
Тактика прихованості та довготривалої присутності
Ключовою особливістю операції LapDogs є фокус на створенні прихованої та надійної інфраструктури замість проведення гучних деструктивних атак. Скомпрометовані пристрої продовжують функціонувати у штатному режимі, що значно ускладнює їх виявлення та атрибуцію.
Такий підхід дозволяє зловмисникам підтримувати довготривалу присутність у цільових мережах та використовувати заражені пристрої як гнучку інфраструктуру для різних типів шкідливої активності. Створена мережа може слугувати операційним прикриттям для майбутніх кібершпигунських операцій.
Виявлення кампанії LapDogs підкреслює критичну важливість регулярного оновлення мережевого обладнання та постійного моніторингу мережевої активності. Організаціям необхідно приділити особливу увагу захисту периферійних пристроїв, які часто залишаються поза увагою систем безпеки, але можуть служити точкою входу для серйозних кіберзагроз. Своєчасне застосування патчів безпеки та використання сучасних рішень для виявлення загроз допоможе мінімізувати ризики компрометації корпоративної інфраструктури.
