كشف باحثو الأمن السيبراني عن شبكة مكوّنة من أكثر من ألف جهاز منزلي ومكتبي صغير (SOHO) تم اختراقها، تُستخدم كجزء من بنية تحتية خفية لحملة تجسس سيبراني مستمرة تنفذها جهات اختراق مرتبطة بالصين.
وقد أطلقت “فريق STRIKE” التابع لشركة SecurityScorecard على هذه الشبكة اسم LapDogs، فيما يُعرف باسم “صندوق الترحيل التشغيلي” (Operational Relay Box – ORB).
وأوضحت الشركة في تقرير تقني:
“شبكة LapDogs تتركّز بشكل كبير في الولايات المتحدة وجنوب شرق آسيا، وهي تنمو بوتيرة بطيئة ولكن ثابتة.”
انتشار العدوى وأهدافها
تشمل مناطق الانتشار الأخرى اليابان، كوريا الجنوبية، هونغ كونغ، وتايوان، بينما تتنوع ضحايا الهجمات بين قطاعات تكنولوجيا المعلومات، والشبكات، والعقارات، والإعلام.
وقد تم رصد حالات اختراق نشطة لأجهزة وخدمات تابعة لشركات بارزة مثل:
Ruckus Wireless، ASUS، Buffalo Technology، Cisco-Linksys، Cross DVR، D-Link، Microsoft، Panasonic، وSynology.
الباب الخلفي “ShortLeash”
قلب شبكة LapDogs هو برمجية خبيثة مخصصة تُدعى ShortLeash، صُممت خصيصًا لتجنيد الأجهزة المصابة ضمن الشبكة. بمجرد التثبيت، تُنشئ خادم ويب مزيف يعتمد على Nginx، ويولّد شهادة TLS موقّعة ذاتيًا باسم “LAPD”، في محاولة لخداع الضحايا بإيهامهم بأنهم يتعاملون مع شرطة لوس أنجلوس — وهو السبب وراء تسمية الشبكة بـ “LapDogs”.
ويرجح أن يتم توزيع ShortLeash عبر سكربتات shell لاستهداف أجهزة SOHO العاملة بنظام Linux، إلا أن بعض الأدلة تشير إلى وجود نسخة تستهدف نظام Windows كذلك. وتستغل الهجمات ثغرات أمنية معروفة (مثل: CVE-2015-1548 وCVE-2017-17663) لتحقيق الوصول الأولي.
حملات منظمة
تشير الأدلة إلى أن أول أنشطة LapDogs تم رصدها في تايوان بتاريخ 6 سبتمبر 2023، تلاها هجوم ثانٍ في 19 يناير 2024. ويُعتقد أن الهجمات تُنفّذ على شكل دفعات صغيرة، لا يتجاوز عدد الأجهزة المستهدفة فيها 60 جهازًا في كل مرة. وقد تم توثيق 162 حملة اختراق منفصلة حتى الآن.
مقارنة مع PolarEdge
أشارت SecurityScorecard إلى أوجه تشابه بين شبكة LapDogs وشبكة تهديد أخرى تُعرف باسم PolarEdge، والتي تم توثيقها سابقًا من قبل شركة Sekoia، إلا أن الخبراء يؤكدون أن الكيانين مختلفان، نظراً لاختلاف آليات العدوى، واستراتيجيات التثبيت، وقدرة LapDogs على استهداف الخوادم الافتراضية (VPS) وأجهزة Windows.
فبينما تقوم برمجية PolarEdge باستبدال سكربت CGI بأداة webshell خاصة بالمهاجمين، تقوم ShortLeash بإدراج نفسها كملف خدمة داخل مجلد النظام وتكسب صلاحيات root للاستمرار حتى بعد إعادة تشغيل الجهاز.
تورط جهات صينية
بحسب التقييم، وبثقة متوسطة، يُرجّح أن تكون مجموعة التهديد الصينية UAT-5918 قد استخدمت شبكة LapDogs في واحدة من عملياتها ضد تايوان. إلا أنه لم يتضح بعد ما إذا كانت المجموعة نفسها هي من تدير الشبكة أو أنها مجرد “عميل مستفيد” منها.
وقد سبق لشركات مثل Google Mandiant، وSygnia، وSentinelOne أن وثقت استخدام الجماعات الصينية لشبكات ORB كوسيلة لإخفاء الهوية وتضليل الدفاعات، في إطار عمليات تجسس دقيقة الاستهداف.
وأوضحت SecurityScorecard أن:
“رغم أن كلًا من ORB والـ botnets يتكوّنان من أجهزة وخدمات شرعية مخترقة ومرتبطة بالإنترنت، إلا أن ORB تعمل كأداة متعددة الاستخدامات، ويمكن أن تُستخدم في أي مرحلة من مراحل دورة الاختراق — بدءًا من الاستطلاع، مرورًا بجمع بيانات الشبكة، إلى إعادة تهيئة الأجهزة لتعمل كخوادم C2 أو مرحلات لنقل البيانات المسروقة.”
