Η ομάδα UAT-7810, που σχετίζεται με τον κινεζικό τομέα hacking, έχει επεκτείνει τη δραστηριότητά της με στόχο την αξιοποίηση ελαττωμάτων ασφαλείας στους ασύρματους δρομολογητές Ruckus. Αυτή η ενέργεια έχει οδηγήσει στην ανάπτυξη ενός παγκόσμιου δικτύου συσκευών Internet of Things (IoT) που έχουν παραβιαστεί, το οποίο υποστηρίζεται από νέο κακόβουλο λογισμικό.
Αυτή η επιθετική στρατηγική έχει δημιουργήσει το δίκτυο Operational Relay Box (ORB), μια αλυσίδα παραβιασμένων συσκευών που χρησιμοποιούνται για να αποτρέψουν την ανίχνευση της πραγματικής προέλευσης των κυβερνοεπιθέσεων. Οι χάκερ εκμεταλλεύονται συνηθισμένους δρομολογητές, επιτρέποντας στις κακόβουλες δραστηριότητές τους να συγχωνεύονται με την κανονική διαδικτυακή κυκλοφορία.Οι σχετικές λεπτομέρειες μπορείτε να βρείτε εδώ.
Αξιοσημείωτο είναι ότι οι προσπάθειες της UAT-7810 δεν είναι νέες. Οι ερευνητές ασφάλειας είχαν επισημάνει για πρώτη φορά τις δραστηριότητες του δικτύου ORB, γνωστό και ως LapDogs, το 2025, και από τότε η υποδομή τους έχει συνεχώς επεκταθεί.
Η UAT-7810 έχει εξειδικευτεί στην ανάπτυξη και συντήρηση αυτών των δικτύων αναμετάδοσης, επιτρέποντας σε άλλους παράγοντες απειλής να χρησιμοποιούν την υποδομή τους για επιθέσεις σε στρατηγικούς στόχους. Αυτή η καταμερισμένη προσέγγιση καθιστά πιο δύσκολη την ανίχνευση των εισβολών από τους υπερασπιστές.Περισσότερες πληροφορίες μπορείτε να βρείτε εδώ.
Η Cisco Talos έχει παρακολουθήσει τη δραστηριότητα του UAT-7810 και καθορίζει την ομάδα ως μια προηγμένη persistent threat (APT) που είναι υπεύθυνη για τη συντήρηση του δικτύου LapDogs. Υπάρχουν επίσης υποδείξεις ότι η UAT-7810 μοιράζεται εργαλεία με την ομάδα UAT-5918, αν και οι δύο παρακολουθούνται ως ξεχωριστές οντότητες με διαφορετικούς στρατηγικούς στόχους.
Οι επιτιθέμενοι επικεντρώνονται κυρίως σε μη επιδιορθωμένους δρομολογητές Ruckus, αξιοποιώντας γνωστές ευπάθειες αντί να ανακαλύπτουν καινούριες. Αυτή η στρατηγική αποδεικνύει ότι το απαρχαιωμένο υλικολογισμικό παραμένει ένα από τα πιο προνομιακά σημεία πρόσβασης σε οικιακά και επαγγελματικά δίκτυα. Αφού αποκτήσουν πρόσβαση, οι χάκερ αναπτύσσουν μια ευρεία γκάμα προσαρμοσμένων backdoors για τη διατήρηση του ελέγχου στις παραβιασμένες συσκευές.
Οι χάκερ της Κίνας εκμεταλλεύονται τους Ruckus Routers
Κεντρική θέση στη στρατηγική τους κατέχει η κερκόπορτα SHORTLEASH, η οποία σύμφωνα με την Talos πρόκειται να αντικατασταθεί από τη νέα αναβαθμισμένη έκδοση LONGLEASH, προσφέροντας επιπλέον δυνατότητες. Το LONGLEASH είναι ικανό να λειτουργεί ως διακομιστής μεσολάβησης, να φιλοξενεί δικό του διακομιστή ιστού, καθώς και να διαχειρίζεται κρυπτογραφημένες σήραγγες και ενδιάμεσους διακομιστές εντολών που μεταβιβάζουν οδηγίες σε άλλες μολυσμένες συσκευές.
Ο Talos αποκάλυψε επιπλέον δύο αόρατα εργαλεία, το DOGLEASH και το JARLEASH, μαζί με ένα μικρό πρόγραμμα δοκιμής που ονομάζεται LEASHTEST. Το DOGLEASH είναι μια ελαφριά backdoor που «ακούει» σε μολυσμένες συσκευές Linux περιμένοντας συγκεκριμένες εντολές. Το JARLEASH, γραμμένο σε Java, παρέχει στους επιτιθέμενους εργαλεία διαχείρισης αρχείων και μεταφοράς αρχείων, με την σχεδίασή του να περιέχει σχόλια γραμμένα στα Απλοποιημένα Κινεζικά.
Οι δρομολογητές Ruckus παραμένουν το σημείο εισόδου
Η δημοτικότητα των ασύρματων δρομολογητών Ruckus ως στόχων προκύπτει από την εκτεταμένη χρήση τους με παρωχημένο λογισμικό. Οι ερευνητές της Talos έχουν εντοπίσει τρία γνωστά τρωτά σημεία που εκμεταλλεύεται η UAT-7810 για εισβολές από το 2025. Μόλις παραβιαστεί, ένας δρομολογητής μπορεί να ενσωματωθεί σε δίκτυο ORB και να χρησιμοποιηθεί για την αναμετάδοση της κυκλοφορίας για μήνες χωρίς να γίνει αντιληπτός από τον ιδιοκτήτη.
Η ομάδα φαίνεται επίσης να έχει ενδιαφέρον να επεκταθεί και σε άλλες συσκευές. Στις αρχές του έτους, έχουν στόχο συσκευές ASUS AiCloud, γεγονός που υποδηλώνει ότι η UAT-7810 δεν περιορίζεται σε έναν μόνο προμηθευτή ή τύπο συσκευής.
Η άμεση εφαρμογή ενημερώσεων λογισμικού στους δρομολογητές και η αντικατάσταση του υλικού που έχει φτάσει στο τέλος του κύκλου ζωής είναι απλά αλλά αποτελεσματικά βήματα για την κλείδωση αυτών των σημείων καταχώρησης.Δείτε περισσότερα εδώ.
Οι οργανισμοί και οι καθημερινοί χρήστες θα πρέπει να επιβεβαιώσουν ότι οι δρομολογητές τους συνεχίζουν να λαμβάνουν ενημερώσεις ασφαλείας από τους κατασκευαστές τους. Η τμηματοποίηση των δικτύων οικίας και γραφείου, ώστε τα παραβιασμένα δίκτυα να μην μπορούν να επηρεάσουν άλλες συσκευές, προσθέτει ένα επιπλέον επίπεδο προστασίας.
Επίσης, η τακτική παρακολούθηση της διαδικτυακής κυκλοφορίας για ύποπτες συνδέσεις μπορεί να είναι καθοριστική, καθώς οι συγκεκριμένες επιθέσεις εστιάζουν σε μακροπρόθεσμες, αθόρυβες παραβιάσεις.
Δείκτες Συμβιβασμού (IoCs):
Σημείωση: Οι διευθύνσεις IP και οι τομείς είναι σκόπιμα αλλοιωμένοι (π.χ. [.]) για την αποφυγή τυχαίας επίλυσης ή υπερσύνδεσης. Re-fang μόνο σε ελεγχόμενες πλατφόρμες πληροφοριών απειλών όπως το MISP, το VirusTotal ή το SIEM σας.

