Hackers chineses comprometem mais de 1,000 dispositivos SOHO

Threat hunters revelaram uma vasta rede de mais de 1.000 dispositivos de pequenos escritórios e escritórios domésticos (SOHO) comprometidos, que estariam sendo utilizados para uma prolongada campanha de espionagem cibernética. Essa infraestrutura, batizada de "LapDogs" pela equipe STRIKE da SecurityScorecard, é suspeita de estar ligada a grupos hackers chineses.

A rede Operational Relay Box (ORB) LapDogs tem uma concentração significativa de vítimas nos Estados Unidos e no Sudeste Asiático, com um crescimento constante e silencioso. O relatório técnico da SecurityScorecard destaca que infecções também são prevalentes no Japão, Coreia do Sul, Hong Kong e Taiwan, atingindo diversos setores como TI, redes, imobiliário e mídia. Dispositivos e serviços de fabricantes renomados como Ruckus Wireless, ASUS, Buffalo Technology, Cisco-Linksys, D-Link, Microsoft, Panasonic e Synology estão entre os comprometidos.

No coração da operação LapDogs reside um backdoor customizado chamado ShortLeash, projetado especificamente para integrar os dispositivos infectados à rede. Uma vez instalado, o ShortLeash configura um servidor web Nginx falso e gera um certificado TLS exclusivo, autoassinado com o nome de emissor "LAPD" – uma tentativa de se passar pelo Departamento de Polícia de Los Angeles, referência que deu nome à rede ORB.

Acredita-se que o ShortLeash seja distribuído principalmente via scripts de shell para penetrar em dispositivos SOHO baseados em Linux, embora evidências de uma versão para Windows também tenham sido encontradas. Os hackers exploram vulnerabilidades de segurança do dia N (como CVE-2015-1548 e CVE-2017-17663) para obter acesso inicial.

Os primeiros sinais de atividade do LapDogs foram detectados em 6 de setembro de 2023, em Taiwan, com o segundo ataque registrado em 19 de janeiro de 2024. Há indícios de que as campanhas são lançadas em lotes, cada um infectando até 60 dispositivos.

Até o momento, foram identificados 162 conjuntos de intrusão distintos. Embora o ORB LapDogs compartilhe algumas similaridades com outro cluster, o PolarEdge – documentado pela Sekoia como explorando falhas de segurança em roteadores e dispositivos IoT desde o final de 2023 –, eles são considerados entidades separadas devido a diferenças nos processos de infecção, métodos de persistência e a capacidade do LapDogs de também atingir servidores virtuais privados (VPSs) e sistemas Windows.

A SecurityScorecard observou que "enquanto o backdoor PolarEdge substitui o script CGI dos dispositivos pelo webshell designado pelo operador, o ShortLeash apenas se insere no diretório do sistema como um arquivo .service, garantindo a persistência do serviço após a reinicialização, com privilégios de nível root".

Com base nas análises, há uma confiança moderada de que o grupo hacker chinês UAT-5918 utilizou a rede LapDogs em pelo menos uma de suas operações contra Taiwan. No entanto, ainda não está claro se o UAT-5918 é o criador da rede ou apenas um cliente que a utiliza. O uso de redes ORB por hackers chineses como meio de ofuscação já foi documentado anteriormente por empresas como Google Mandiant, Sygnia e SentinelOne, indicando uma crescente adoção dessas táticas em suas operações altamente direcionadas.

"Embora tanto as ORBs quanto as botnets geralmente consistam em um grande conjunto de dispositivos legítimos e comprometidos voltados para a Internet ou serviços virtuais, as redes ORB são mais como canivetes suíços e podem contribuir para qualquer estágio do ciclo de vida da intrusão, desde reconhecimento, navegação anônima de invasores e coleta de fluxo de rede até varredura de portas e vulnerabilidades, iniciando ciclos de intrusão reconfigurando nós em servidores de preparação ou até mesmo servidores C2 e retransmitindo dados exfiltrados", explicou a SecurityScorecard.

Via - THN