{"id":3789,"date":"2025-07-01T13:06:57","date_gmt":"2025-07-01T13:06:57","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=3789"},"modified":"2025-07-01T13:06:57","modified_gmt":"2025-07-01T13:06:57","slug":"chinesische-hacker-haben-uber-1-000-soho-gerate-infiziert","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=3789","title":{"rendered":"Chinesische Hacker haben \u00fcber 1.000 SOHO-Ger\u00e4te infiziert"},"content":{"rendered":"<div>\n<div class=\"grid grid--cols-10@md grid--cols-8@lg article-column\">\n<div class=\"col-12 col-10@md col-6@lg col-start-3@lg\">\n<div class=\"article-column__content\">\n<div class=\"container\"><\/div>\n<div class=\"extendedBlock-wrapper block-coreImage undefined\">\n<p>Dutzende Cybercrime-Kampagnen mit Fokus auf Asien und die USA wurden als angebliche LAPD-Aktionen getarnt.<\/p>\n<p class=\"imageCredit\">FOTOGRIN \u2013 shutterstock.com<\/p>\n<\/div>\n<p>Cybersecurity-Experten haben ein Netzwerk von mehr als 1.000 kompromittierten Small-Office- und Home-Office-Ger\u00e4ten (SOHO) entdeckt. Die Devices wurden laut den Experten dazu genutzt, eine langwierige Cyberspionage-Infrastrukturkampagne f\u00fcr chinesische Hacker-Gruppen zu erm\u00f6glichen.<\/p>\n<h2 class=\"wp-block-heading\"><strong>ShortLeash als zentrale Schadsoftware<\/strong><\/h2>\n<p>Das Strike-Team von <a href=\"https:\/\/securityscorecard.com\/blog\/unmasking-a-new-china-linked-covert-orb-network-inside-the-lapdogs-campaign\/\" target=\"_blank\" rel=\"noopener\">SecurityScorecard<\/a> entdeckte das dazugeh\u00f6rige Operational-Relay-Box (ORB)-Netzwerk und gab ihm den Namen LapDogs. Bei der Analyse fanden die Forschenden heraus, dass die Opfer vor allem aus den USA und S\u00fcdostasien stammten. Besonders betroffen waren Japan, S\u00fcdkorea, Hongkong und Taiwan. Die Malware scheint dabei vor allem bei chinesischen Hackern beliebt gewesen zu sein, wie Berichte von <a href=\"https:\/\/research.checkpoint.com\/2024\/sharp-dragon-expands-towards-africa-and-the-caribbean\/\" target=\"_blank\" rel=\"noopener\">Check Point<\/a>, <a href=\"https:\/\/www.sygnia.co\/threat-reports-and-advisories\/weaver-ant-tracking-a-china-nexus-cyber-espionage-operation\/\" target=\"_blank\" rel=\"noopener\">Sygnia<\/a> und <a href=\"https:\/\/www.csoonline.com\/article\/4005061\/china-linked-hackers-target-cybersecurity-firms-governments-in-global-espionage-campaign.html\" target=\"_blank\" rel=\"noopener\">SentinelOne<\/a> zeigen.<\/p>\n<p>Die Schadsoftware ShortLeash steht dabei im Zentrum der LapDogs-Kampagne, wie die Experten herausfanden. Sie infiziert vor allem Linux-basierte SOHO-Ger\u00e4te \u00fcber bekannte Schwachstellen, sogenannte N-Day-Exploits. Dabei tarnt sie sich mit einem gef\u00e4lschten Nginx-Webserver sowie einem selbstsignierten Zertifikat, welches f\u00e4lschlicherweise vom Los Angeles Police Department (LAPD) stammen soll. Eine Windows-Version der Backdoor existiert ebenfalls und wird laut den Experten vermutlich \u00fcber ein Shell-Skript verbreitet.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Kleine Chargen, viele Angriffe<\/strong><\/h2>\n<p>Erste Aktivit\u00e4ten der LapDogs-Kampagne wurden am 6. September 2023 in Taiwan entdeckt, gefolgt von einem weiteren Angriff im Januar 2024. Die Attacken erfolgten dabei offenbar in kleinen Chargen mit maximal 60 infizierten Ger\u00e4ten. Insgesamt identifizierten die Experten bislang 162 solcher Kampagnen.<\/p>\n<p>Sie entdeckten auch, dass die meisten Zertifikate innerhalb einer Gruppe im Abstand von weniger als zwei Sekunden generiert wurden. Das l\u00e4sst laut SecurityScorecard darauf schlie\u00dfen, dass es sich um automatisierte Angriffe anstatt um manuelle Infektionen handelt.<\/p>\n<p>Diese \u00e4hneln dem Cluster \u201ePolarEdge\u201c, das ebenfalls IoT-Sicherheitsl\u00fccken ausnutzt. Trotz \u00dcberschneidungen gelten LapDogs und PolarEdge aber als getrennte Gruppen, da sich ihre Infektionsmethoden und Ziele unterscheiden. Die Experten von SecurityScorecard halten fest, dass die PolarEdge-Backdoor das CGI-Skript der Ger\u00e4te durch die vom Betreiber festgelegte Webshell ersetzt.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Chinesische Meldung bei Fehler<\/strong><\/h2>\n<p>ShortLeash f\u00fcge sich dagegen lediglich als .service-Datei in das Systemverzeichnis ein und sorge daf\u00fcr, dass der Dienst nach einem Neustart mit Root-Rechten weiterlaufe. Hierf\u00fcr \u00fcberpr\u00fcft die Malware, ob auf dem System Ubuntu oder CentOS l\u00e4uft, und installiert sich dann entsprechend.<\/p>\n<p>Nach der Installation benennt das Skript einen Systemdienst um und ersetzt ihn, damit er verborgen und dauerhaft bleibt. Hiermit stellt der Eindringling sicher, dass er bei jedem Neustart ausgef\u00fchrt wird. Wird das Betriebssystem allerdings nicht erkannt, zeigt es eine Meldung in Mandarin mit dem Text \u201eUnbekanntes System\u201c an.<\/p>\n<p>Die Experten vermuten zudem, dass die mit China verbundene und als UAT-5918 bekannte Hackergruppe LapDogs bei mindestens einer ihrer auf Taiwan gerichteten Operationen eingesetzt hat. Es ist allerdings nicht bekannt, ob UAT-5918 hinter dem Netzwerk steckt oder nur ein Client ist.<\/p>\n<h2 class=\"wp-block-heading\"><strong>Angriffe auf namhafte Hersteller aus einer Hand<\/strong><\/h2>\n<p>Bei den aufgedeckten Angriffen konzentrierten die Kriminellen sich vor allem auf Ger\u00e4te aus den Bereichen IT, Netzwerke, Immobilien und Medien. Hersteller waren unter anderem namhafte Marken wie ASUS, Cisco-Linksys, D-Link und Microsoft.<\/p>\n<p>Die Experten warnen allerdings auch, dass das Netzwerk stetig w\u00e4chst, da die Infektion nur von der Kompatibilit\u00e4t mit dem Betriebssystem abh\u00e4ngt und nicht von der Hardware. Das mache viele SOHO-Ger\u00e4te anf\u00e4llig, wobei die Systeme, auf denen Dienste wie GoAhead-Webanwendungen besonders gef\u00e4hrdet seien.<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"<p>Dutzende Cybercrime-Kampagnen mit Fokus auf Asien und die USA wurden als angebliche LAPD-Aktionen getarnt. FOTOGRIN \u2013 shutterstock.com Cybersecurity-Experten haben ein Netzwerk von mehr als 1.000 kompromittierten Small-Office- und Home-Office-Ger\u00e4ten (SOHO) entdeckt. Die Devices wurden laut den Experten dazu genutzt, eine langwierige Cyberspionage-Infrastrukturkampagne f\u00fcr chinesische Hacker-Gruppen zu erm\u00f6glichen. ShortLeash als zentrale Schadsoftware Das Strike-Team von SecurityScorecard [&hellip;]<\/p>\n","protected":false},"author":0,"featured_media":3790,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-3789","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3789"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3789"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/3789\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/3790"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3789"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3789"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3789"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}