Chinesische Hacker haben über 1.000 SOHO-Geräte infiziert

Cybersecurity-Experten haben ein Netzwerk von mehr als 1.000 kompromittierten Small-Office- und Home-Office-Geräten (SOHO) entdeckt. Die Devices wurden laut den Experten dazu genutzt, eine langwierige Cyberspionage-Infrastrukturkampagne für chinesische Hacker-Gruppen zu ermöglichen.

ShortLeash als zentrale Schadsoftware

Das Strike-Team von SecurityScorecard entdeckte das dazugehörige Operational-Relay-Box (ORB)-Netzwerk und gab ihm den Namen LapDogs. Bei der Analyse fanden die Forschenden heraus, dass die Opfer vor allem aus den USA und Südostasien stammten. Besonders betroffen waren Japan, Südkorea, Hongkong und Taiwan. Die Malware scheint dabei vor allem bei chinesischen Hackern beliebt gewesen zu sein, wie Berichte von Check Point, Sygnia und SentinelOne zeigen.

Die Schadsoftware ShortLeash steht dabei im Zentrum der LapDogs-Kampagne, wie die Experten herausfanden. Sie infiziert vor allem Linux-basierte SOHO-Geräte über bekannte Schwachstellen, sogenannte N-Day-Exploits. Dabei tarnt sie sich mit einem gefälschten Nginx-Webserver sowie einem selbstsignierten Zertifikat, welches fälschlicherweise vom Los Angeles Police Department (LAPD) stammen soll. Eine Windows-Version der Backdoor existiert ebenfalls und wird laut den Experten vermutlich über ein Shell-Skript verbreitet.

Kleine Chargen, viele Angriffe

Erste Aktivitäten der LapDogs-Kampagne wurden am 6. September 2023 in Taiwan entdeckt, gefolgt von einem weiteren Angriff im Januar 2024. Die Attacken erfolgten dabei offenbar in kleinen Chargen mit maximal 60 infizierten Geräten. Insgesamt identifizierten die Experten bislang 162 solcher Kampagnen.

Sie entdeckten auch, dass die meisten Zertifikate innerhalb einer Gruppe im Abstand von weniger als zwei Sekunden generiert wurden. Das lässt laut SecurityScorecard darauf schließen, dass es sich um automatisierte Angriffe anstatt um manuelle Infektionen handelt.

Diese ähneln dem Cluster „PolarEdge“, das ebenfalls IoT-Sicherheitslücken ausnutzt. Trotz Überschneidungen gelten LapDogs und PolarEdge aber als getrennte Gruppen, da sich ihre Infektionsmethoden und Ziele unterscheiden. Die Experten von SecurityScorecard halten fest, dass die PolarEdge-Backdoor das CGI-Skript der Geräte durch die vom Betreiber festgelegte Webshell ersetzt.

Chinesische Meldung bei Fehler

ShortLeash füge sich dagegen lediglich als .service-Datei in das Systemverzeichnis ein und sorge dafür, dass der Dienst nach einem Neustart mit Root-Rechten weiterlaufe. Hierfür überprüft die Malware, ob auf dem System Ubuntu oder CentOS läuft, und installiert sich dann entsprechend.

Nach der Installation benennt das Skript einen Systemdienst um und ersetzt ihn, damit er verborgen und dauerhaft bleibt. Hiermit stellt der Eindringling sicher, dass er bei jedem Neustart ausgeführt wird. Wird das Betriebssystem allerdings nicht erkannt, zeigt es eine Meldung in Mandarin mit dem Text „Unbekanntes System“ an.

Die Experten vermuten zudem, dass die mit China verbundene und als UAT-5918 bekannte Hackergruppe LapDogs bei mindestens einer ihrer auf Taiwan gerichteten Operationen eingesetzt hat. Es ist allerdings nicht bekannt, ob UAT-5918 hinter dem Netzwerk steckt oder nur ein Client ist.

Angriffe auf namhafte Hersteller aus einer Hand

Bei den aufgedeckten Angriffen konzentrierten die Kriminellen sich vor allem auf Geräte aus den Bereichen IT, Netzwerke, Immobilien und Medien. Hersteller waren unter anderem namhafte Marken wie ASUS, Cisco-Linksys, D-Link und Microsoft.

Die Experten warnen allerdings auch, dass das Netzwerk stetig wächst, da die Infektion nur von der Kompatibilität mit dem Betriebssystem abhängt und nicht von der Hardware. Das mache viele SOHO-Geräte anfällig, wobei die Systeme, auf denen Dienste wie GoAhead-Webanwendungen besonders gefährdet seien.