Выключить свет в целой стране? Китайцы уже могут — инфраструктура заложена, осталось нажать кнопку
NewsMakerДомашний роутер стал шпионом, офисная камера — доносчиком, а вы всё ещё думаете, что это паранойя.
Масштабная и крайне скрытная кибероперация, предположительно организованная структурами, связанными с китайским правительством, выявлена специалистами Security Scorecard. Специалисты полагают, что за атакой стоят известные группировки Volt Typhoon и Salt Typhoon, использующие привычный для них набор тактик и методов. Главная цель кампании — получение долгосрочного доступа к сетям и создание распределённой инфраструктуры для сокрытия своей деятельности.
По информации Security Scorecard, операция продолжается как минимум с сентября 2023 года и до сих пор расширяется. За это время злоумышленникам удалось заразить не менее тысячи устройств, преимущественно в США и странах Восточной Азии. Список пострадавших включает интернет-провайдеров, производителей оборудования, компании из сферы IT, недвижимости, СМИ и других отраслей.
Особое внимание атакующие уделили устаревшим и уязвимым устройствам — роутерам, IP-камерам, серверам виртуализации и другой технике для небольших офисов и домашних сетей. Именно из таких устройств формируется скрытая инфраструктура под названием Operational Relay Box ( ORB ). Эта сеть позволяет преступникам маскировать атаки, перенаправляя трафик через заражённые устройства, находящиеся в непосредственной близости от целей. Китайские группировки всё чаще используют подобную тактику. Так кибератаки выглядят как действия изнутри целевого региона, что значительно осложняет их отслеживание и реагирование.
Общее количество заражённых устройств, по оценкам, уже составляет сотни, если не тысячи единиц. Более 90% из них сосредоточено в пяти регионах: США (352 устройства), Японии (256), Южной Корее (226), Тайване (80) и Гонконге (37).
Security Scorecard обозначила выявленную сеть под кодовым названием LapDogs. Её основой стали старые и незащищённые устройства, особенно на базе Linux. Почти 55% из заражённых объектов — это точки доступа Ruckus Wireless. Также зафиксированы многочисленные взломы роутеров Buffalo Technology AirStation.
При атаках злоумышленники активно эксплуатируют известные уязвимости, включая CVE-2015-1548 и CVE-2017-17663, обнаруженные в миниатюрном веб-сервере ACME mini_httpd. Первая позволяет удалённо извлекать конфиденциальные данные из памяти устройства, а вторая — осуществлять удалённое выполнение кода за счёт переполнения буфера.
После успешного проникновения на устройство загружается специально разработанный бэкдор ShortLeash. Этот зловред создаёт самоподписанный сертификат безопасности, маскирующийся под подпись полиции Лос-Анджелеса (LAPD). Именно эта уловка стала поводом для названия всей кампании — LapDogs.
Бэкдор обеспечивает устойчивый контроль над устройством: он запускается с правами администратора, перезапускается после каждого включения, а также имеет механизм резервного копирования на случай удаления. В зависимости от операционной системы атака адаптируется — под Ubuntu заражение происходит в каталоге /etc/systemd/system/, под CentOS — в /lib/systemd/system/. Если устройство не соответствует этим системам, скрипт выводит на экран сообщение на китайском языке: «Неизвестная система».
Главное назначение установленного на устройства вредоносного ПО пока остаётся неизвестным — его содержимое зашифровано и требует дальнейшего анализа. Однако известно, что аналогичный образец ранее был обнаружен Cisco Talos при атаке на критическую инфраструктуру Тайваня. Это позволяет предположить, что конечная цель — возможность нарушения работы ключевых систем или отключения инфраструктуры в будущем.
Злоумышленники предпринимают серьёзные меры по сокрытию своих следов, включая шифрование трафика и использование малозаметных портов. Однако специалисты по кибербезопасности подчёркивают: есть признаки, по которым можно выявить такую активность. Одним из тревожных индикаторов служат зашифрованные подключения с домашних или офисных устройств, которые обычно не обращаются к корпоративным сетям. Особенно подозрительно выглядят соединения с нестандартными портами и сертификатами, якобы выданными LAPD. В Security Scorecard отметили, что при обнаружении подобного трафика важно немедленно принимать меры. Игнорирование подобных признаков чревато потерей контроля над сетями и серьёзными последствиями для безопасности инфраструктуры.
Масштабная и крайне скрытная кибероперация, предположительно организованная структурами, связанными с китайским правительством, выявлена специалистами Security Scorecard. Специалисты полагают, что за атакой стоят известные группировки Volt Typhoon и Salt Typhoon, использующие привычный для них набор тактик и методов. Главная цель кампании — получение долгосрочного доступа к сетям и создание распределённой инфраструктуры для сокрытия своей деятельности.
По информации Security Scorecard, операция продолжается как минимум с сентября 2023 года и до сих пор расширяется. За это время злоумышленникам удалось заразить не менее тысячи устройств, преимущественно в США и странах Восточной Азии. Список пострадавших включает интернет-провайдеров, производителей оборудования, компании из сферы IT, недвижимости, СМИ и других отраслей.
Особое внимание атакующие уделили устаревшим и уязвимым устройствам — роутерам, IP-камерам, серверам виртуализации и другой технике для небольших офисов и домашних сетей. Именно из таких устройств формируется скрытая инфраструктура под названием Operational Relay Box ( ORB ). Эта сеть позволяет преступникам маскировать атаки, перенаправляя трафик через заражённые устройства, находящиеся в непосредственной близости от целей. Китайские группировки всё чаще используют подобную тактику. Так кибератаки выглядят как действия изнутри целевого региона, что значительно осложняет их отслеживание и реагирование.
Общее количество заражённых устройств, по оценкам, уже составляет сотни, если не тысячи единиц. Более 90% из них сосредоточено в пяти регионах: США (352 устройства), Японии (256), Южной Корее (226), Тайване (80) и Гонконге (37).
Security Scorecard обозначила выявленную сеть под кодовым названием LapDogs. Её основой стали старые и незащищённые устройства, особенно на базе Linux. Почти 55% из заражённых объектов — это точки доступа Ruckus Wireless. Также зафиксированы многочисленные взломы роутеров Buffalo Technology AirStation.
При атаках злоумышленники активно эксплуатируют известные уязвимости, включая CVE-2015-1548 и CVE-2017-17663, обнаруженные в миниатюрном веб-сервере ACME mini_httpd. Первая позволяет удалённо извлекать конфиденциальные данные из памяти устройства, а вторая — осуществлять удалённое выполнение кода за счёт переполнения буфера.
После успешного проникновения на устройство загружается специально разработанный бэкдор ShortLeash. Этот зловред создаёт самоподписанный сертификат безопасности, маскирующийся под подпись полиции Лос-Анджелеса (LAPD). Именно эта уловка стала поводом для названия всей кампании — LapDogs.
Бэкдор обеспечивает устойчивый контроль над устройством: он запускается с правами администратора, перезапускается после каждого включения, а также имеет механизм резервного копирования на случай удаления. В зависимости от операционной системы атака адаптируется — под Ubuntu заражение происходит в каталоге /etc/systemd/system/, под CentOS — в /lib/systemd/system/. Если устройство не соответствует этим системам, скрипт выводит на экран сообщение на китайском языке: «Неизвестная система».
Главное назначение установленного на устройства вредоносного ПО пока остаётся неизвестным — его содержимое зашифровано и требует дальнейшего анализа. Однако известно, что аналогичный образец ранее был обнаружен Cisco Talos при атаке на критическую инфраструктуру Тайваня. Это позволяет предположить, что конечная цель — возможность нарушения работы ключевых систем или отключения инфраструктуры в будущем.
Злоумышленники предпринимают серьёзные меры по сокрытию своих следов, включая шифрование трафика и использование малозаметных портов. Однако специалисты по кибербезопасности подчёркивают: есть признаки, по которым можно выявить такую активность. Одним из тревожных индикаторов служат зашифрованные подключения с домашних или офисных устройств, которые обычно не обращаются к корпоративным сетям. Особенно подозрительно выглядят соединения с нестандартными портами и сертификатами, якобы выданными LAPD. В Security Scorecard отметили, что при обнаружении подобного трафика важно немедленно принимать меры. Игнорирование подобных признаков чревато потерей контроля над сетями и серьёзными последствиями для безопасности инфраструктуры.