كشف باحثو الأمن السيبراني عن شبكة تضم أكثر من 1000 جهاز منزلي ومكتبي صغير (SOHO) تم اختراقها، تُستخدم في حملة تجسس إلكتروني طويلة الأمد تديرها مجموعات قرصنة مرتبطة بالصين.
وقد أطلق فريق STRIKE التابع لشركة SecurityScorecard على هذه الشبكة اسم LapDogs، وتُعرف أيضًا بـ شبكة ORB (صندوق الترحيل التشغيلي).
“شبكة LapDogs تُظهر تركيزًا عاليًا من الضحايا في الولايات المتحدة وجنوب شرق آسيا، وهي تنمو ببطء لكن بثبات”، بحسب التقرير الفني الصادر هذا الأسبوع من شركة SecurityScorecard.
تشمل المناطق الأخرى المتأثرة اليابان، كوريا الجنوبية، هونغ كونغ، وتايوان، ويعمل الضحايا في قطاعات متنوعة تشمل تكنولوجيا المعلومات، الشبكات، العقارات، والإعلام. وتستهدف العدوى أجهزة من شركات مثل:Ruckus Wireless، ASUS، Buffalo Technology، Cisco-Linksys، Cross DVR، D-Link، Microsoft، Panasonic، وSynology.
ShortLeash: القلب النابض لشبكة LapDogs
يعتمد تشغيل شبكة LapDogs على باب خلفي مخصص يدعى ShortLeash، مصمم لتجنيد الأجهزة المصابة ضمن الشبكة. عند التثبيت، ينشئ خادم Nginx مزيفًا ويولّد شهادة TLS موقعة ذاتيًا تحمل اسم “LAPD” لمحاكاة شرطة لوس أنجلوس، وهو ما ألهم التسمية ORB.
يتم تسليم ShortLeash غالبًا عبر سكربت Shell لاختراق أجهزة SOHO العاملة بنظام Linux، إلا أنه تم العثور أيضًا على مؤشرات تفيد بوجود نسخة منه تعمل على Windows.
تعتمد الهجمات على استغلال ثغرات أمنية قديمة (N-day vulnerabilities) مثل:
-
CVE-2015-1548 -
CVE-2017-17663
التسلسل الزمني والنطاق
تم رصد أول نشاط مرتبط بشبكة LapDogs في 6 سبتمبر 2023 في تايوان، وتلاه هجوم آخر في 19 يناير 2024. تشير الأدلة إلى أن الحملات تُطلق على شكل دفعات، لا تتجاوز كل منها 60 جهازًا، وقد تم تحديد 162 مجموعة اختراق مختلفة حتى الآن.
التشابه مع شبكة PolarEdge
تشترك شبكة LapDogs في بعض السمات مع شبكة أخرى تدعى PolarEdge، التي وثقتها شركة Sekoia في فبراير 2025، والتي تستغل ثغرات في أجهزة التوجيه وغيرها من أجهزة إنترنت الأشياء (IoT) منذ أواخر عام 2023.
لكن تختلف الشبكتان في:
-
طريقة العدوى.
-
أساليب الاستمرارية.
-
قدرة LapDogs على استهداف الخوادم الافتراضية الخاصة (VPS) وأنظمة Windows.
“بينما تستبدل برمجية PolarEdge ملفات CGI بواجهة الويب الخاصة بالمهاجم، يقوم ShortLeash بإدراج نفسه كملف
.serviceفي مجلد النظام، ليضمن استمرارية التشغيل بعد إعادة التشغيل، وبصلاحيات Root”، بحسب SecurityScorecard.
🇨🇳 الجهات الفاعلة المرتبطة بالصين
تشير التقديرات إلى أن مجموعة قرصنة صينية تُعرف بـ UAT-5918 استخدمت شبكة LapDogs في هجوم واحد على الأقل ضد تايوان. ولم يتضح بعد ما إذا كانت المجموعة هي من أنشأ الشبكة أو كانت مجرد مستخدم لها.
وقد وثّقت شركات مثل Google Mandiant وSygnia وSentinelOne استخدام الفاعلين الصينيين لشبكات ORB في السابق، مما يشير إلى تزايد اعتمادهم عليها في العمليات المعقدة.
ORB: أكثر من مجرد بوت نت
“رغم أن ORBs والبوت نت تتكونان من أجهزة حقيقية تواجه الإنترنت تم اختراقها، إلا أن شبكات ORB تُعد أدوات متعددة الاستخدامات (كـ سكين الجيش السويسري)، ويمكنها المساهمة في جميع مراحل سلسلة الهجوم، من الاستطلاع، التصفح المتخفي، جمع بيانات netflow، فحص المنافذ والثغرات، إعادة تهيئة العقد لتعمل كخوادم تحكم وسيطرة (C2)، بل وحتى تمرير البيانات المسروقة”، بحسب SecurityScorecard.
