اكتشف صيادو التهديدات شبكة تضم أكثر من 1000 أجهزة المكاتب الصغيرة والمكاتب الصغيرة (SOHO) التي تم استخدامها لتسهيل حملة البنية التحتية للتجسس الإلكترونية لفترات طويلة لمجموعات القرصنة في الصين.
تم تسجيل اسم شبكة مربع الترحيل التشغيلي (ORB) Lapdogs بواسطة فريق الإضراب في SecurityScoreCard.
“شبكة LAPDOGS لها تركيز كبير من الضحايا في جميع أنحاء الولايات المتحدة وجنوب شرق آسيا ، وتنمو ببطء ولكن بثبات في الحجم” ، شركة الأمن السيبراني قال في تقرير فني نُشر هذا الأسبوع.
تشمل المناطق الأخرى التي تنتشر فيها الالتهابات اليابان وكوريا الجنوبية وهونغ كونغ وتايوان ، حيث تمتد الضحايا ، والشبكات ، والعقارات ، وقطاعات الإعلام. تمتد العدوى النشطة للأجهزة والخدمات من Ruckus Wireless و Asus و Buffalo Technology و Cisco-Linksys و Cross DVR و D-Link و Microsoft و Panasonic و Synology.
Heart Heat ‘Lapdogs’ Heating عبارة عن باب خلفي مخصص يسمى Shortleash الذي تم تصميمه لتجنيد الأجهزة المصابة في الشبكة. بمجرد التثبيت ، يقوم بإعداد خادم ويب Nginx المزيف ويقوم بإنشاء شهادة TLS فريدة من نوعها وتوقيع ذاتيًا مع اسم المصدر “LAPD” في محاولة لانتحال شخصية شرطة لوس أنجلوس. هذا المرجع الذي أعطى شبكة الجرم السماوي اسمها.
تم تقييم Shortleash ليتم تسليمه عن طريق البرنامج النصي shell لاختراق أجهزة SOHO المستندة إلى Linux ، على الرغم من أنه تم العثور على القطع الأثرية التي تخدم إصدار Windows من الباب الخلفي. يهاجم أنفسهم سلاحًا للضعف الأمني في يوم N-Day (على سبيل المثال ، CVE-2015-1548 و CVE-2017-17663) للحصول على الوصول الأولي.
تم اكتشاف أول علامات على النشاط المتعلقة بـ Lapdogs حتى 6 سبتمبر 2023 ، في تايوان ، مع تسجيل الهجوم الثاني بعد أربعة أشهر ، في 19 يناير 2024. هناك أدلة تشير إلى أن الحملات قد تم إطلاقها على دفعات ، كل منها لا تصيب أكثر من 60 جهازًا. تم تحديد ما مجموعه 162 مجموعة اقتحام مميزة حتى الآن.
تم العثور على الجرم السماوي لتبادل بعض أوجه التشابه مع مجموعة أخرى يشار إليها باسم Polaredge ، والتي تم توثيقها من قبل Sekoia في وقت سابق من شهر فبراير / شباط في شهر فبراير / شباط كاستغلال العيوب الأمنية المعروفة في أجهزة التوجيه وأجهزة إنترنت الأشياء الأخرى لترسيخها في شبكة منذ أواخر عام 2023 لغرض محدد.
وبصرف النظر عن التداخل ، يتم تقييم Lapdogs و Polaredge ككائنين منفصلين ، بالنظر إلى الاختلافات في عملية العدوى ، وطرق الثبات المستخدمة ، وقدرة السابقة على استهداف الخوادم الخاصة الافتراضية (VPSS) وأنظمة Windows.
“بينما يستبدل Polaredge Backdoor البرنامج النصي CGI للأجهزة باستخدام Webshell المعينة للمشغل ، فإن Shortleash يدرج نفسه فقط في دليل النظام كملف خدمة ، مما يضمن استمرار الخدمة عند إعادة التشغيل ، بامتيازات على مستوى الجذر”.
والأكثر من ذلك ، تم قياسه بثقة متوسطة أن طاقم القرصنة المرتبط في الصين تم تتبعه حيث استخدم UAT-5918 LAPDOGs في واحدة على الأقل من عملياتها التي تهدف إلى تايوان. لا يُعرف حاليًا ما إذا كان UAT-5918 وراء الشبكة أو مجرد عميل.
لقد تم توثيق استخدام الجهات الفاعلة في التهديد الصيني لشبكات ORB كوسيلة للتشويش من قبل Google Mandiant و Sygnia و Sentinelone ، مما يشير إلى أنه يتم تبنيها بشكل متزايد في كتب اللعب الخاصة بهم للعمليات المستهدفة للغاية.
“على الرغم من أن كل من الأجرام السماوية والروبوتات تتكون عادةً من مجموعة كبيرة من الأجهزة المتوفرة والشرعية التي تواجه الإنترنت أو الخدمات الافتراضية ، فإن شبكات الجرم السماوية تشبه سكاكين الجيش السويسري ، ويمكن أن تسهم في أي مرحلة من مرحلة من دورة حياة الاقتحام ، من الاستطلاع ، أو تعيد التصفح للممثل المجهول ، وتجميعها في الجمعية المسبقة ، أو التعميم على الأدوية. وقال SecurityScoreCard:
