Caçadores de ameaças descobriram uma rede de mais de 1.000 dispositivos SOHO (small office e home office) comprometidos, que têm sido utilizados para facilitar uma prolongada campanha de infraestrutura de espionagem cibernética para grupos de hacking com conexões à China.
A rede Operational Relay Box (ORB) foi apelidada de LapDogs pela equipe STRIKE da SecurityScorecard.
“A rede LapDogs tem uma alta concentração de vítimas nos Estados Unidos e no Sudeste Asiático, e está crescendo de forma lenta, mas constante," disse a empresa de cybersecurity em um relatório técnico publicado esta semana.
Outras regiões onde as infecções são prevalentes incluem Japão, Coreia do Sul, Hong Kong e Taiwan, com vítimas que englobam setores de TI, redes, imobiliário e mídia.
Infecções ativas abrangem dispositivos e serviços de Ruckus Wireless, ASUS, Buffalo Technology, Cisco-Linksys, Cross DVR, D-Link, Microsoft, Panasonic e Synology.
O coração pulsante do LapDogs é um backdoor personalizado chamado ShortLeash, projetado para alistar dispositivos infectados na rede.
Uma vez instalado, ele configura um servidor web Nginx falso e gera um certificado TLS autoassinado e único com o nome do emissor "LAPD", numa tentativa de se passar pelo Departamento de Polícia de Los Angeles.
É essa referência que deu à rede ORB seu nome.
Acredita-se que o ShortLeash seja distribuído por meio de um script shell para penetrar principalmente dispositivos SOHO baseados em Linux, embora artefatos que servem uma versão Windows do backdoor também tenham sido encontrados.
Os próprios ataques utilizam vulnerabilidades de segurança N-day (por exemplo,
CVE-2015-1548
e
CVE-2017-17663
) para obter acesso inicial.
Os primeiros sinais de atividade relacionada ao LapDogs foram detectados em 6 de setembro de 2023, em Taiwan, com o segundo ataque registrado quatro meses depois, em 19 de janeiro de 2024.
Há evidências que sugerem que as campanhas são lançadas em lotes, cada um infectando não mais que 60 dispositivos.
Um total de 162 conjuntos distintos de intrusão foram identificados até o momento.
A ORB demonstrou ter algumas semelhanças com outro cluster referido como PolarEdge, que foi documentado pela Sekoia no início de fevereiro, explorando falhas de segurança conhecidas em roteadores e outros dispositivos IoT para arrebanhá-los em uma rede desde o final de 2023 para um propósito ainda indeterminado.
Apesar das sobreposições, LapDogs e PolarEdge são avaliados como duas entidades separadas, dadas as diferenças no processo de infecção, os métodos de persistência utilizados e a capacidade do primeiro de também visar servidores privados virtuais (VPSs) e sistemas Windows.
“Enquanto o backdoor PolarEdge substitui o script CGI dos dispositivos pelo webshell designado pelo operador, o ShortLeash simplesmente se insere no diretório do sistema como um arquivo .service, garantindo a persistência do serviço após o reboot, com privilégios de nível root," observou a SecurityScorecard.
Além disso, foi avaliado com média confiança que a equipe de hackers vinculada à China, monitorada como UAT-5918, usou o LapDogs em pelo menos uma de suas operações voltadas para Taiwan.
Atualmente, não se sabe se a UAT-5918 está por trás da rede ou é apenas um cliente.
O uso de redes ORB por atores de ameaça chineses como meio de obfuscação foi documentado anteriormente pelo Google Mandiant, Sygnia e SentinelOne, indicando que elas estão sendo cada vez mais adotadas em seus playbooks para operações altamente direcionadas.
“Enquanto tanto ORBs quanto botnets comumente consistem de um grande conjunto de dispositivos legítimos com acesso à internet ou serviços virtuais comprometidos, redes ORB são mais como canivetes suíços e podem contribuir para qualquer estágio do ciclo de intrusão, desde reconhecimento, navegação anônima do ator, e coleta de netflow até varredura de portas e vulnerabilidades, iniciando ciclos de intrusão pela reconfiguração de nós em servidores de staging ou até servidores C2, e retransmissão de dados exfiltrados para cima no stream," disse a SecurityScorecard.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...