Китайская кибератака LapDogs захватила сотни роутеров по всему миру — под ударом Linux-устройства и IoT

Исследователи из STRIKE, подразделения компании SecurityScorecard, раскрыли масштабную шпионскую кампанию LapDogs, в рамках которой взломаны более тысячи устройств малого и домашнего офиса по всему миру. Целью атаки стала организация скрытой инфраструктуры под названием Operational Relay Box (ORB), которая позволяет злоумышленникам анонимно передавать команды и поддерживать связь с заражёнными устройствами на длительное время.

Среди стран, где было зафиксировано наибольшее число заражений, — США, Япония, Южная Корея, Гонконг и Тайвань. Анализ кода и профилей жертв указывает на связь атакующих с китайской группировкой UAT-5918. Основное внимание киберпреступников сосредоточено на уязвимых устройствах под управлением Linux: именно для этой ОС создан вредоносный скрипт ShortLeash, который после установки заменяет системный сервис для маскировки и автоматически связывается с управляющими серверами, маскируясь под легитимный веб-сервер Nginx.

Эксперты сообщают, что LapDogs не ограничивается каким-либо конкретным производителем оборудования — в числе заражённых устройств роутеры и IoT-системы ASUS, D-Link, Synology, Panasonic и даже серверы с Windows. Главным фактором заражения стала не марка, а использование устаревших версий прошивок и ПО с известными критическими уязвимостями, такими как CVE-2015-1548 и CVE-2017-17663.

Особую тревогу вызвало то, что вредоносная сеть ORB демонстрирует высокий уровень автоматизации: тысячи сертификатов для управления заражёнными устройствами были созданы в одни и те же секунды, что указывает на использование скриптов для массового взлома. Анализ групп заражённых показал сильную географическую привязку — более 95% устройств из ряда кластеров были подключены через одного провайдера в одном и том же городе.

Кампания LapDogs ведётся с осени 2023 года и до сих пор развивается. Исследователи нашли аналогичные образцы вредоносного ПО для Windows, включая устаревшие системы вроде Windows XP, что говорит о намерении злоумышленников расширять охват и использовать любые уязвимые устройства, способные поддерживать связь с ORB.

В SecurityScorecard подчёркивают, что такие атаки выводят кибершпионаж на новый уровень: использование домашних и офисных роутеров превращает обычные бытовые устройства в шпионские ретрансляторы, а рассредоточенная сеть ORB затрудняет обнаружение и блокировку вредоносной инфраструктуры. Эксперты призывают компании и пользователей обновлять прошивки сетевого оборудования, отключать неиспользуемые сервисы и следить за активностью своих устройств, особенно если они управляются через веб-интерфейсы.