Minaccia scoperta: la rete LapDogs
I cacciatori di minacce hanno individuato una rete di oltre 1.000 dispositivi compromessi in piccoli uffici e uffici domestici (SOHO), utilizzati per sostenere una campagna di cyber spionaggio prolungata da parte di gruppi di hacker legati alla Cina. Questa rete, denominata Operational Relay Box (ORB), è stata soprannominata LapDogs dal team STRIKE di SecurityScorecard.
Secondo un rapporto tecnico pubblicato questa settimana, la rete LapDogs presenta una forte concentrazione di vittime negli Stati Uniti e nel Sud-est asiatico, e sta crescendo lentamente ma costantemente. Altre regioni colpite includono Giappone, Corea del Sud, Hong Kong e Taiwan, con vittime nei settori IT, networking, immobiliare e media. Le infezioni attive coinvolgono dispositivi e servizi di Ruckus Wireless, ASUS, Buffalo Technology, Cisco-Linksys, Cross DVR, D-Link, Microsoft, Panasonic e Synology.
Il cuore pulsante di LapDogs è un backdoor personalizzato chiamato ShortLeash, progettato per arruolare dispositivi infetti nella rete. Una volta installato, ShortLeash configura un falso server web Nginx e genera un certificato TLS auto-firmato unico con il nome dell’emittente “LAPD”, nel tentativo di impersonare il Dipartimento di Polizia di Los Angeles. È proprio questo riferimento che ha dato il nome alla rete ORB.
ShortLeash viene distribuito principalmente tramite uno script shell per penetrare nei dispositivi SOHO basati su Linux, sebbene siano stati trovati artefatti che servono una versione Windows del backdoor. Gli attacchi sfruttano vulnerabilità di sicurezza N-day (ad esempio, CVE-2015-1548 e CVE-2017-17663) per ottenere l’accesso iniziale.
I primi segni di attività legati a LapDogs sono stati rilevati già il 6 settembre 2023 a Taiwan, con il secondo attacco registrato quattro mesi dopo, il 19 gennaio 2024. Ci sono prove che suggeriscono che le campagne vengano lanciate in lotti, ciascuno dei quali infetta non più di 60 dispositivi. Finora sono stati identificati un totale di 162 set di intrusioni distinti.
L’ORB condivide alcune somiglianze con un altro cluster noto come PolarEdge, documentato da Sekoia a febbraio, che sfrutta falle di sicurezza note in router e altri dispositivi IoT per radunarli in una rete dal 2023 per uno scopo ancora da determinare. Nonostante le somiglianze, LapDogs e PolarEdge sono valutati come due entità separate, date le differenze nel processo di infezione, nei metodi di persistenza utilizzati e nella capacità del primo di colpire anche server privati virtuali (VPS) e sistemi Windows.
Mentre il backdoor di PolarEdge sostituisce lo script CGI dei dispositivi con la webshell designata dall’operatore, ShortLeash si inserisce semplicemente nella directory di sistema come file .service, garantendo la persistenza del servizio al riavvio, con privilegi di root.
Inoltre, è stato valutato con media fiducia che il gruppo di hacker legato alla Cina, tracciato come UAT-5918, abbia utilizzato LapDogs in almeno una delle sue operazioni mirate a Taiwan.
Fonte: The Hackers News
