นักวิจัยด้านความปลอดภัยทางไซเบอร์ ได้ค้นพบเครือข่ายของอุปกรณ์สำหรับ small office และ home office (SOHO) ที่ถูกโจมตีมากกว่า 1,000 เครื่อง และถูกนำมาใช้เป็นโครงสร้างพื้นฐานเพื่อสนับสนุนปฏิบัติการจารกรรมทางไซเบอร์แบบระยะยาวให้กับกลุ่มแฮ็กเกอร์ที่มีความเชื่อมโยงกับจีน
ทีม STRIKE ของบริษัท SecurityScorecard ได้เรียกเครือข่ายนี้ว่า Operational Relay Box (ORB) และได้ตั้งรหัสชื่อว่า LapDogs
บริษัทด้านความปลอดภัยทางไซเบอร์ ระบุในรายงานทางเทคนิคว่า "เครือข่าย LapDogs มีเหยื่อจำนวนมากกระจุกตัวอยู่ในสหรัฐอเมริกา และเอเชียตะวันออกเฉียงใต้ และยังคงมีการขยายตัวอย่างช้า ๆ อย่างต่อเนื่อง"
ภูมิภาคอื่น ๆ ที่พบการแพร่กระจายของมัลแวร์ ได้แก่ ญี่ปุ่น, เกาหลีใต้, ฮ่องกง และไต้หวัน โดยเหยื่อจะกระจายอยู่ในภาคส่วนของไอที, เครือข่าย, อสังหาริมทรัพย์ และสื่อ
สำหรับการแพร่กระจายมัลแวร์ที่ยังคงดำเนินอยู่ พบได้ในอุปกรณ์ และบริการจากบริษัทต่าง ๆ เช่น Ruckus Wireless, ASUS, Buffalo Technology, Cisco-Linksys, Cross DVR, D-Link, Microsoft, Panasonic และ Synology
หัวใจสำคัญของ LapDogs คือ backdoor ที่ถูกพัฒนาขึ้นมาโดยเฉพาะที่ชื่อว่า ShortLeash ถูกออกแบบมาเพื่อดึงอุปกรณ์ที่ติดมัลแวร์ให้เข้าร่วมเครือข่าย เมื่อมัลแวร์ถูกติดตั้งแล้ว มันจะทำการตั้งค่าเว็บเซิร์ฟเวอร์ Nginx ปลอมขึ้นมา และสร้าง self-signed TLS certificate โดยระบุชื่อผู้ออกใบรับรองว่า LAPD เพื่อพยายามปลอมตัวเป็นกรมตำรวจของลอสแอนเจลิส และด้วยการอ้างอิงถึง LAPD นี้เอง จึงกลายเป็นที่มาของชื่อเครือข่าย ORB (Operational Relay Box) ดังกล่าว
มีการประเมินว่า ShortLeash ถูกส่งเข้ามายังเป้าหมายผ่านทาง shell script เพื่อโจมตีอุปกรณ์ SOHO ที่ใช้ระบบปฏิบัติการ Linux เป็นหลัก แม้ว่าจะพบไฟล์ backdoor ที่ระบุถึงเวอร์ชันของ Windows ด้วยก็ตาม แต่การโจมตีเหล่านี้ต้องอาศัยช่องโหว่ด้านความปลอดภัยแบบ N-day (เช่น CVE-2015-1548 และ CVE-2017-17663) เพื่อเข้าถึงระบบของเหยื่อในเบื้องต้นให้ได้ก่อน
พบสัญญาณของกิจกรรมที่เกี่ยวข้องกับการโจมตีแบบ LapDogs โดยถูกตรวจพบครั้งแรกในวันที่ 6 กันยายน 2023 ที่ประเทศไต้หวัน และมีการบันทึกการโจมตีครั้งที่สองได้ในอีก 4 เดือนถัดมา เมื่อวันที่ 19 มกราคม 2024 โดยมีหลักฐานบ่งชี้ว่าการโจมตีนี้ถูกปล่อยออกมาเป็นชุด ๆ โดยแต่ละชุดจะแพร่กระจายมัลแวร์ไปยังอุปกรณ์ไม่เกิน 60 เครื่อง และจนถึงปัจจุบัน สามารถระบุจำนวนชุดของการโจมตีที่แตกต่างกันได้ทั้งหมด 162 ชุด
เครือข่าย ORB นี้ ถูกพบว่ามีความคล้ายคลึงกับกลุ่มผู้โจมตีอีกกลุ่มหนึ่งที่เรียกว่า PolarEdge ซึ่งถูกบันทึกโดยบริษัท Sekoia เมื่อต้นเดือนกุมภาพันธ์ 2025 ที่ผ่านมา โดยได้ใช้ช่องโหว่ในเราเตอร์ และอุปกรณ์ IoT อื่น ๆ เพื่อรวบรวมอุปกรณ์เหล่านั้นเข้ามาเป็นเครือข่าย ตั้งแต่ช่วงปลายปี 2023 และปัจจุบันยังไม่ทราบวัตถุประสงค์ที่แน่ชัด
อย่างไรก็ตาม แม้ว่าจะมีความคล้ายกันในบางส่วน แต่ LapDogs และ PolarEdge ได้ถูกวิเคราะห์ว่าเป็นสองกลุ่มที่แยกจากกันอย่างชัดเจน เนื่องจากมีความแตกต่างกันในกระบวนการแพร่กระจายมัลแวร์ (infection process), วิธีการแฝงตัวอยู่ในระบบ (persistence methods) และความสามารถของ LapDogs ที่สามารถโจมตีเป้าหมายที่เป็น Virtual Private Servers (VPS) และระบบ Windows ได้อีกด้วย
SecurityScorecard ระบุว่า "ในขณะที่ backdoor ของ PolarEdge จะทำการแทนที่ CGI script ของอุปกรณ์ด้วย webshell ที่ผู้โจมตีกำหนดไว้ แต่ ShortLeash เพียงแค่แทรกตัวเองเข้าไปในไดเรกทอรีของระบบในรูปแบบไฟล์ .service เพื่อให้แน่ใจว่า service ของมันจะยังคงทำงานอยู่แม้ว่าจะมีการรีบูตเครื่องก็ตาม และยังได้รับสิทธิ์การเข้าถึงระดับ root อีกด้วย"
ยิ่งไปกว่านั้น ยังมีการประเมินด้วยความเชื่อมั่นในระดับปานกลางว่า กลุ่มแฮ็กเกอร์ที่เชื่อมโยงกับจีน ที่ถูกติดตามภายใต้ชื่อ UAT-5918 เคยใช้ LapDogs ในการโจมตีอย่างน้อยหนึ่งครั้ง โดยมุ่งเป้าไปยังประเทศไต้หวัน แต่ในปัจจุบันยังไม่ทราบแน่ชัดว่า UAT-5918 เป็นผู้สร้างเครือข่ายนี้ขึ้นมาเอง หรือเป็นเพียงผู้ใช้งานเครือข่ายนี้เท่านั้น
ก่อนหน้านี้ บริษัท Google Mandiant, Sygnia และ SentinelOne ก็เคยบันทึกถึงการใช้เครือข่าย ORB ของกลุ่มผู้โจมตีชาวจีน เพื่อหลบซ่อนตัวตน ซึ่งแสดงให้เห็นว่าเทคนิคนี้กำลังถูกนำมาใช้ในแผนการโจมตีที่มุ่งเป้าหมายเฉพาะเจาะจงมากขึ้นเรื่อย ๆ
SecurityScorecard ระบุเพิ่มเติมว่า "แม้ว่าเครือข่าย ORB และ botnet จะประกอบด้วยอุปกรณ์ หรือบริการที่เชื่อมต่ออินเทอร์เน็ตที่ถูก hack มาเหมือนกัน แต่ ORB เปรียบเสมือนมีดพับอเนกประสงค์ ที่สามารถนำไปใช้ในทุกขั้นตอนของการโจมตีระบบ ไม่ว่าจะเป็นการสอดแนม, การท่องเว็บแบบไม่เปิดเผยตัวตน, การเก็บรวบรวมข้อมูล NetFlow, การสแกนพอร์ต และช่องโหว่, การเริ่มต้นโจมตีโดยการปรับเปลี่ยน nodes ให้กลายเป็น staging server หรือแม้กระทั่งเป็น C2 server และยังสามารถใช้ส่งข้อมูลที่ขโมยมาได้กลับไปยังผู้โจมตีอีกด้วย"
ที่มา : thehackernews
You must be logged in to post a comment.