Uočena je sofisticirana špijunska kampanja povezana s Kinom koja je pogodila preko hiljadu malih kancelarijskih/kućnih (SOHO) uređaja širom svijeta, koristeći naprednu mrežu baziranu na Operativnim relejnim kutijama (ORB) pod nazivom „LapDogs“.
Ova prikrivena infrastrukturna operacija, aktivna od septembra 2023., predstavlja značajnu evoluciju u taktici sajber ratovanja od strane država, budući da kompromitovani uređaji nisu iskorišteni za napade koji izazivaju poremećaje, već kao prikrivena dugoročna operativna infrastruktura.
Kampanja pokazuje izvanrednu geografsku preciznost, s metama koje su visoko koncentrisane u Sjedinjenim Američkim Državama i jugoistočnoj Aziji, posebno u Japanu, Južnoj Koreji, Hong Kongu i Tajvanu.
Za razliku od tradicionalnih bot mreža koje pokreću bučne napade koji privlače pažnju, mreža LapDogs djeluje s preciznošću hirurga, održavajući zaražene uređaje koji nastavljaju normalno funkcionisati dok služe kao prikrivene relejne tačke za maliciozne aktivnosti.
Ovaj pristup čini otkrivanje i pripisivanje izuzetno teškim za profesionalce za sajber sigurnost.
Analitičari iz kompanije SecurityScorecard identifikovali su ovu prethodno neobjavljenu prijetnju kroz opsežnu forenzičku analizu, otkrivajući jasne operativne obrasce koji sugerišu visoko fokusirane napadače sa jasnim ciljevima.
Istraživači su otkrili dokaze o namjernom rastu kampanje, pri čemu su napadači pokretali talase prodiranja ciljajući specifične regije kroz dobro planirane setove upada tokom vremena.
Forenzički dokazi, uključujući bilješke kineskih kodera i obrasce viktimizacije, naveli su analitičare STRIKE tima da procijene kako je infrastruktura LapDogs korištena od strane grupe poznate kao UAT-5918, koja se bavi naprednim trajnim prijetnjama.
ShortLeash backdoor: Tehnička arhitektura i mehanizmi postojanosti
Tehnička sofisticiranost kampanje LapDogs usredsređena je na „ShortLeash“, prilagođeni maliciozni softver tipa backdoor, posebno dizajniran za uspostavljanje postojanih uporišta na kompromitovanim SOHO uređajima.
Ovaj maliciozni softver koristi posebno domišljatu tehniku obskuracije generisanjem samopotpisanih TLS sertifikata koji se predstavljaju kao „LAPD“, sugerišući referencu na Odjeljenje policije Los Anđelesa radi uvjerljivog prikrivanja.
Obrasci generisanja sertifikata otkrili su preko hiljadu aktivno zaraženih čvorova širom svijeta, s jasnim porastom koji odgovara mikro-prodirajućim kampanjama usmjerenim na specifične geografske regije.
Dizajn backdoor-a prioritet daje prikrivanju nad brzinom, omogućavajući napadačima da održe dugoročni pristup izbjegavajući tradicionalne mehanizme otkrivanja koji se fokusiraju na identifikaciju bučnih, destruktivnih ponašanja malicioznog softvera.
