Китай ведёт войну за роутеры — и выигрывает. Особенно если они на Linux

В ходе масштабной шпионской кампании, получившей название LapDogs , было взломано более тысячи устройств малого и домашнего офиса. Исследователи из команды STRIKE компании SecurityScorecard сообщили, что атака связана с китайскими хакерами и была направлена на создание скрытой сети, поддерживающей долгосрочную киберразведку. Устройства, попавшие под контроль злоумышленников, образовали инфраструктуру под названием Operational Relay Box, или ORB, которая обеспечивала стабильную связь и маскировку командных серверов.

По данным отчёта, основные цели кампании находились в США, Японии, Южной Корее, Гонконге, Тайване и странах Юго-Восточной Азии. Исследователи связывают кампанию с китайской группировкой UAT-5918, опираясь на язык вредоносного кода, профили жертв и совпадения с другими атаками на критическую инфраструктуру.

Команда STRIKE смогла получить образ вредоносной программы ShortLeash, разработанной под Linux. Скрипт требовал root-доступ, проверял операционную систему (Ubuntu или CentOS) и внедрял себя в автозагрузку. Если система не распознавалась, отображалось сообщение на китайском языке. После установки скрипт заменял системный сервис, чтобы скрыться от пользователя и антивирусов . Само вредоносное ПО было зашифровано в два слоя и при расшифровке раскрывалось содержимое с сертификатами, приватными ключами и URL-адресом для связи с управляющим сервером, маскируясь под обычный веб-сервер Nginx.

LapDogs не ограничивается атаками на конкретные бренды. В списке жертв оказались устройства ASUS, D-Link, Microsoft, Panasonic, Synology и других производителей. Главным критерием заражения выступает операционная система, а не тип оборудования. Под угрозой оказались системы с веб-интерфейсами GoAhead, админ-панелями WRT и сервером IIS.

Многие устройства, задействованные в сети LapDogs, оказались уязвимыми из-за старых версий ПО, включая mini_httpd и DropBear SSH. Исследователи обнаружили массовое использование десятилетними уязвимостями , такими как CVE-2015-1548 и CVE-2017-17663. На большинстве заражённых устройств работали облегчённые веб-серверы, типичные для встраиваемых систем и маршрутизаторов.

Анализ цифровых сертификатов, созданных почти одновременно с точностью до секунд, показал, что атаки носят автоматизированный характер. Используя ИИ, эксперты выделили 162 группы заражённых устройств. Внутри многих из них наблюдалось чёткое совпадение по географии и провайдерам. В некоторых случаях более 95 процентов устройств из одной группы использовали одного и того же интернет-провайдера и находились в одном городе, что указывает на продуманную локализацию атак.

Кампания, по оценкам исследователей, ведётся как минимум с сентября 2023 года и развивается постепенно. Хотя большинство заражённых групп невелики — менее 60 устройств — исследование показывает, что действия нападавших хорошо организованы, избирательны и рассчитаны на длительное воздействие.

LapDogs имеет сходство с другой кампанией под названием PolarEdge, обнаруженной компанией Sekoia. Обе используют маршрутизаторы и IoT-устройства , но LapDogs демонстрирует более широкий охват, включая виртуальные серверы и даже Windows-машины. Было выявлено наличие варианта вредоносного ПО ShortLeash для Windows, включая устаревшие версии, такие как Windows XP.

Хотя однозначно приписать LapDogs одной хакерской группе пока невозможно, найденные признаки указывают на участие китайских структур. В частности, в скрипте используется китайский язык, а выбор целей явно ориентирован на интересы, связанные с Китаем. Эксперты предполагают, что сеть ORB может использоваться несколькими группами и не исключают, что в будущем к ней могут получить доступ и другие акторы.

По мнению специалистов SecurityScorecard, такая инфраструктура нарушает традиционные методы отслеживания и реагирования на киберугрозы. Они призывают команды ИБ учитывать новые подходы, применяемые китайскими кибергруппами , и готовиться к тому, что подобные кампании станут частью новой реальности кибер шпионажа .