近年来,随着网络技术的迅猛发展,小型办公和家用办公设备(SOHO设备)在全球范围内的使用率大幅提升。这些设备包括无线路由器、网络存储设备、DVR录像机等,广泛应用于个人和企业的日常网络通信和信息存储。然而,这些设备往往存在安全漏洞,且其安全防护措施较为薄弱,成为黑客组织的首选攻击目标。近日,安全研究团队发现了一个名为LapDogs的网络间谍行动,涉及超过一千台SOHO设备受到攻击,背后疑似与中国黑客集团有关。LapDogs网络的发现不仅揭示了一个庞大的恶意网络体系,更暴露了全球网络安全防护的巨大隐患。 LapDogs行动由SecurityScorecard的STRIKE团队首次披露。
该网络通过名为Operational Relay Box(ORB)的架构,联合控制了大量分布在美国、东南亚、日本、韩国、香港和台湾等地的SOHO设备。受害设备隶属于多个行业,包括信息技术、网络通信、房地产和媒体等,显示出攻击的广泛面向。被感染的设备覆盖了多个知名品牌,如Ruckus Wireless、ASUS、Buffalo Technology、Cisco-Linksys、Cross DVR、D-Link、Microsoft、Panasonic及Synology等,反映出攻击者对主流设备的深度渗透能力。 LapDogs网络的核心是一个定制后门程序,命名为ShortLeash。此后门通过巧妙伪装,建立了假冒的Nginx Web服务器,并生成带有“LAPD”(洛杉矶警察局缩写)的自签名TLS证书,试图混淆和欺骗网络防御机制及监控人员。ShortLeash主要针对基于Linux的SOHO设备,但亦有针对Windows系统的变种被发现,显示攻击的多系统覆盖。
攻击者借助多个已知的N-day漏洞(如CVE-2015-1548和CVE-2017-17663)实现初始入侵,反映出他们善于利用公开漏洞展开持续攻击。 时间线追溯显示,LapDogs网络的活动最早可追溯至2023年9月6日台湾地区。此后,该行动以批次形式推进,每次感染不超过60台设备。至今共识别出162个独立入侵集群,表明这是一次有计划、有组织的长期行动。LapDogs与另一著名的恶意网络PolarEdge存在一定的技术重叠,但两者在攻击手法、持久性配置和目标设备上表现出明显差异。PolarEdge通过替换设备CGI脚本植入WebShell,而LapDogs则将ShortLeash伪装成系统服务文件,实现在每次系统重启后自动启动的根级别控制。
此外,安全分析团队中等程度确定中国相关的UAT-5918黑客团队至少在一次针对台湾的行动中使用了LapDogs网络。虽然暂不明确该团队是LapDogs的制造者还是客户,但其关联反映了中国黑客集团利用ORB网络掩护身份、实施复杂网络间谍的趋势。ORB网络因其灵活多变的功能被形容为网络攻击中的“瑞士军刀”,能够支持从情报侦察、匿名访问、流量收集、端口扫描、漏洞检测,到重新配置节点为C2服务器甚至数据中转等多种攻击阶段。此类多功能特质使得LapDogs网络极具持续威胁和隐蔽性。 LapDogs事件不仅展示了现代网络攻击技术的进步,更提示了SOHO设备在网络安全生态中的脆弱地位。由于SOHO设备广泛面向普通用户和中小企业,安全更新和漏洞修复常常滞后,导致恶意软件得以长期潜伏与扩散。
此外,设备生产商在设计阶段的安全防护能力不足,也为攻击者提供了入侵的“突破口”。 针对LapDogs的攻击特征,安全专家建议用户和企业加强对SOHO设备的安全管理。首先,及时更新设备固件和操作系统,减少使用默认密码和权限配置,避免使用已知漏洞的设备版本。其次,采用多层次的网络安全防御策略,例如启用网络入侵检测系统(IDS)、定期审查网络流量异常、增强访问控制等。对于企业用户而言,加强员工的网络安全意识培训及设备资产管理同样至关重要。 中国黑客组织利用LapDogs进行的长期网络间谍活动,进一步凸显地缘政治因素对网络安全的深刻影响。
在全球数字化战争持续加剧的背景下,国家间的网络对抗不仅涉及军事实力,更深入到民用设备与个人信息层面。国际社会和网络安全行业需持续合作,推动设备安全标准的提升与漏洞信息的透明共享,共同构建更加安全的网络空间。 总之,LapDogs网络的曝光再次警醒我们,随着物联网时代的到来,网络安全的挑战不断升级。SOHO设备作为连接个人与企业互联网的前沿阵地,其安全性直关系到整个网络生态乃至国家信息安全。提高防范意识、加快技术升级和加强国际合作,将是抵御此类先进持续威胁的关键所在。未来,用户、厂商和安全机构需形成合力,筑牢防线,才能有效遏制LapDogs式的复杂多变网络攻击,保障数字时代的安全与稳定。
。
