В современном цифровом мире безопасность сети является одной из самых важных задач для пользователей как в домашних условиях, так и в малом бизнесе. Современные технологии предлагают широкий спектр устройств, таких как маршрутизаторы, IP-камеры и умная техника, которые обеспечивают удобство и функциональность. Однако именно эти устройства часто становятся мишенью для киберпреступников. В недавнем исследовании команда STRIKE компании SecurityScorecard обнаружила сложную сеть компрометированных устройств малого офиса и домашнего офиса (SOHO), в которой удалось выявить скрытый бэкдор под названием ShortLeash. Эта угроза позволяет злоумышленникам иметь полный контроль над устройствами, при этом оставаясь практически незаметными для стандартных систем безопасности.
Угрозы в сфере SOHO-устройств на базе Linux отличаются своей изощренностью и фокусируются на ряде слабых мест, традиционно игнорируемых при обеспечении кибербезопасности. В отличие от классических ботнетов, характеризующихся хаотичной и массовой атакой, LapDogs — так была названа данная кампания — работает более избирательно и скрытно. Операторы используют концепцию сетей Operational Relay Box (ORB), при помощи которых они подключаются к таким устройствам, как устаревшие маршрутизаторы, IP-камеры и другой устаревший интеллектуальный хардвер для скрытого мониторинга сетевого трафика, сбора данных и направления трафика через компрометированные узлы. Центральным элементом выявленной кампании стал Backdoor ShortLeash — сложный механизм, предоставляющий злоумышленникам доступ с правами root и возможность сохранения своей работы и маскировки на заражённых устройствах. Особенностью работы ShortLeash является настройка поддельного веб-сервера на основе Nginx с применением самоподписанного TLS-сертификата, имитирующего один из официальных сертификатов полиции Лос-Анджелеса (LAPD).
Этот сертификат стал важным элементом для исследователей, поскольку служил уникальным цифровым отпечатком, позволявшим отслеживать распространение вредоносного ПО по всему миру. Более тысячи скомпрометированных узлов были идентифицированы в США, Японии, Южной Корее, Тайване и Гонконге. Характер атак проявляет стратегический подход: заражения распространяются пакетами с четко установленными временными рамками, что свидетельствует о тщательно спланированных кампаниях. При этом иногда атаки нацеливались только на конкретные страны, а в другие дни вредоносное ПО распространялось сразу в несколько регионов. Важным индикатором для киберзащитников является использование одного и того же номера порта для заражённых устройств, что упрощает группировку инцидентов и помогает ускорить расследование.
Особое внимание вызывает тот факт, что некоторые устройства использовали один и тот же сертификат на двух IP-адресах, что, вероятно, свидетельствует о множественных сетевых интерфейсах на одном устройстве или о более сложной инфраструктуре, управляемой злоумышленниками. Такой факт указывает на высокий уровень контроля и профессионализма хакерской группировки. Выбор SOHO-устройств не случаен. Эти устройства традиционно используют упрощённые веб-серверы, такие как mini_httpd, и встроенные утилиты управления с настройками по умолчанию, которые зачастую не меняются пользователями. Многие из заражённых систем работают на устаревших версиях программного обеспечения, некоторые из которых даже датируются началом 2000-х.
Дополнительно уязвимыми являются сервисы OpenSSH и DropBearSSH, часто публично доступные в сети без должного контроля. Все эти факторы создают идеальные условия для атак, поскольку данные устройства зачастую остаются за пределами зон видимости и контроля традиционных систем мониторинга безопасности. Эксперты в области кибербезопасности, такие как Райан Шерстобитов из SecurityScorecard, подчеркивают, что ответственные лица в компаниях с уязвимыми SOHO-устройствами, особенно в таких секторах, как недвижимость и медиа, должны принять более жёсткие меры безопасности. Управляемые третьими сторонами edge-устройства часто создают скрытые риски, поскольку отсутствует централизованный контроль за их состоянием и возможными инцидентами. Важной рекомендацией является использование только оборудования с надёжными настройками по умолчанию, включающими встроенную телеметрию и возможности для своевременного обновления программного обеспечения.
Наиболее уязвимые и часто эксплуатируемые модели, такие как маршрутизаторы производства Ruckus Wireless и Buffalo AirStation, должны быть постепенно выведены из эксплуатации и заменены на более современные и безопасные аналоги. Также критично пересмотреть процедуры закупок и управления поставщиками. Необходимо требовать от производителей и поставщиков регулярные сканирования устройств на наличие устаревших сервисов, таких как mini_httpd и DropBearSSH, а также необходимость поддержки централизованного мониторинга состояния устройств. Политики сегментации сети должны чётко отделять SOHO-устройства от ключевых элементов корпоративной инфраструктуры, минимизируя тем самым степень риска. В договоры с поставщиками услуг управления необходимо включать обязательства по уведомлению о возможных инцидентах безопасности – введение таких условий поможет быстро реагировать на обнаруженные угрозы и минимизировать их последствия для корпоративной сети.
Что касается происхождения атаки, STRIKE команда SecurityScorecard связывает злонамеренные действия с группами, ориентированными на Китай, основываясь на ряде косвенных признаков. Код, используемый в ShortLeash, содержит пометки на мандаринском языке, а целевые регионы и тактики схожи с известными операциями, которые ранее связывались с китайским кибершпионажем. Известная группа UAT-5918, детектированная Cisco Talos, предположительно связанна с инфраструктурой LapDogs, что указывает на систематический уровень подготовки и организации кампаний. В условиях скрытного характера вредоносной активности LapDogs и ограничения охвата традиционных средств обеспечения безопасности (например, EDR), специалисты рекомендуют внедрять пассивный анализ TLS-сертификатов и использование JARM-фингерпринтинга для выявления подозрительных самоподписанных сертификатов, имитирующих доверенные организации. Анализ сетевого трафика, такой как Netflow и DNS-телеметрия, должен быть ориентирован на обнаружение аномалий – особенно обращая внимание на признаки выхода трафика на командно-контрольные серверы с доменами наподобие northumbra[.
]com и необычные активные порты (например, 42532). Для SOC и MSSP становится важным регулярное наблюдение за поведением граничных устройств и проактивный поиск нестандартных веб-серверных баннеров Nginx или неожиданных открытых веб-сервисов, которые могут сигнализировать о наличии вредоносного компонента ShortLeash. Таким образом, возможна своевременная идентификация и нейтрализация угрозы, предотвращая операционные и репутационные потери. В заключение, рост угроз в среде устройств SOHO несёт значительные риски безопасности, требующие переосмысления подходов к защите. Интеграция современных средств мониторинга, обновление уязвимого оборудования и повышение осведомленности в вопросах безопасности позволят снизить опасность атаки и защитить критическую цифровую инфраструктуру как бизнеса, так и частных пользователей.
Важно сохранять бдительность и постоянно адаптировать меры безопасности по мере развития и усложнения современных киберугроз.
