هک دستگاه‌های کوچک اداری و خانگی در چین

به گزارش کارگروه حملات سایبری سایبربان؛ شکارچیان تهدید، شبکه‌ای متشکل از بیش از ۱۰۰۰ دستگاه کوچک اداری و خانگی (SOHO) آلوده را کشف کرده‌اند که به منظور تسهیل یک کمپین طولانی‌مدت جاسوسی سایبری برای گروه‌های هکری چینی-ارتباطی استفاده شده‌اند.

شبکهOperational Relay Box  (ORB) توسط تیم «STRIKE» شرکت «SecurityScorecard» با نام رمز «LapDogs» نامگذاری شده است.

این شرکت امنیت سایبری در گزارش فنی منتشر شده اعلام کرد:

«شبکه LapDogs تمرکز بالایی از قربانیان را در سراسر ایالات متحده و آسیای جنوب شرقی دارد و به آرامی اما پیوسته در حال رشد است.»

مناطق دیگری که این آلودگی‌ها در آنها شایع است، شامل ژاپن، کره جنوبی، هنگ‌کنگ و تایوان است که قربانیان آن از بخش‌های فناوری اطلاعات، شبکه، املاک و مستغلات و رسانه هستند. آلودگی‌های فعال شامل دستگاه‌ها و سرویس‌هایی از «Ruckus Wireless»، «ASUS»، «Buffalo Technology»، «Cisco-Linksys»، «Cross DVR»، «D-Link»، مایکروسافت، پاناسونیک و «Synology» می‌شود.

قلب تپنده LapDogs یک در پشتی سفارشی به نام «ShortLeash» است که برای ثبت دستگاه‌های آلوده در شبکه طراحی شده است. پس از نصب، یک وب سرور جعلی «Nginx» راه‌اندازی و یک گواهی «TLS» منحصر به فرد و خودامضا با نام صادرکننده «LAPD» تولید می‌کند تا خود را به جای اداره پلیس لس‌آنجلس جا بزند. همین ارجاع است که نام شبکه «ORB» را به آن داده است.

ارزیابی می‌شود که ShortLeash از طریق یک اسکریپت پوسته برای نفوذ اولیه به دستگاه‌های کوچک اداری و خانگی مبتنی بر لینوکس ارائه می‌شود، اگرچه مصنوعاتی که نسخه ویندوزی این در پشتی را ارائه می‌دهند نیز یافت شده‌اند. خود این حملات از آسیب‌پذیری‌های امنیتی N روزه (مانند CVE-2015-1548 و CVE-2017-17663) برای دستیابی اولیه استفاده می‌کنند.

اولین نشانه‌های فعالیت مربوط به LapDogs در 6 سپتامبر 2023 در تایوان شناسایی و حمله دوم 4 ماه بعد، در 19 ژانویه 2024 ثبت شده است. شواهدی وجود دارد که نشان می‌دهد این کمپین‌ها به صورت دسته‌ای راه‌اندازی می‌شوند که هر کدام بیش از 60 دستگاه را آلوده نمی‌کنند. تاکنون در مجموع ۱۶۲ مجموعه نفوذ مجزا شناسایی شده است.

مشخص شده است که ORB شباهت‌هایی با خوشه دیگری به نام «PolarEdge» دارد که اوایل فوریه امسال توسط «Sekoia» به عنوان بهره‌برداری از نقص‌های امنیتی شناخته شده در روترها و سایر دستگاه‌های اینترنت اشیا برای محصور کردن آنها در یک شبکه از اواخر سال ۲۰۲۳ برای هدفی که هنوز مشخص نشده، مستند شده است.

گذشته از همپوشانی‌ها، LapDogs و «PolarEdge» به عنوان دو موجودیت جداگانه ارزیابی می‌شوند، با توجه به تفاوت‌ها در فرآیند آلودگی، روش‌های پایداری مورد استفاده و توانایی اولی در هدف قرار دادن سرورهای خصوصی مجازی (VPS) و سیستم‌های ویندوز.

SecurityScorecard خاطرنشان کرد:

«درحالی‌که در پشتی PolarEdge اسکریپت CGI دستگاه‌ها را با پوسته وب تعیین شده توسط اپراتور جایگزین می‌کند، ShortLeash صرفاً خود را به عنوان یک فایل .service در دایرکتوری سیستم قرار می‌دهد و پایداری سرویس را پس از راه‌اندازی مجدد، با امتیازات سطح ریشه تضمین می‌کند. علاوه بر این، با اطمینان متوسط ارزیابی شده که گروه هکری مرتبط با چین به نام «UAT-5918»، حداقل در یکی از عملیات‌های خود که تایوان را هدف قرار داده، از LapDogs استفاده کرده است. در حال حاضر مشخص نیست که آیا UAT-5918 پشت این شبکه است یا فقط یک کلاینت است.»

استفاده عوامل تهدید چینی از شبکه‌های ORB به عنوان ابزاری برای مبهم‌سازی، قبلاً توسط گوگل ماندیانت (Google Mandiant)، سیگنیا (Sygnia) و سنتینل‌وان (SentinelOne) مستند شده، که نشان می‌دهد آنها به طور فزاینده‌ای در دستورالعمل‌های خود برای عملیات بسیار هدفمند به کار گرفته می‌شوند. SecurityScorecard گفت:

«در حالی که هم ORBها و هم بات‌نت‌ها معمولاً از مجموعه بزرگی از دستگاه‌های اینترنتی یا سرویس‌های مجازیِ قانونی و آسیب‌پذیر تشکیل شده‌اند، شبکه‌های ORB بیشتر شبیه چاقوهای ارتش سوئیس هستند و می‌توانند در هر مرحله از چرخه عمر نفوذ، از شناسایی، مرور ناشناسِ عاملان و جمع‌آوری جریان شبکه گرفته تا اسکن پورت و آسیب‌پذیری، شروع چرخه‌های نفوذ با پیکربندی مجدد گره‌ها در سرورهای مرحله‌بندی یا حتی فرماندهی و کنترل و انتقال داده‌های استخراج‌شده به جریان اصلی، نقش داشته باشند.»