LapDogs Ağı: Yeni Bir Siber Tehdit
Son zamanlarda ortaya çıkan LapDogs ağı, 1.000’den fazla küçük ofis ve ev ofisi (SOHO) cihazının siber casusluk amacıyla kullanıldığını ortaya koymuştur. Bu buluşu, siber güvenlik firması SecurityScorecard’ın STRIKE ekibi gerçekleştirmiştir. Özellikle Çin ile bağlantılı hacker gruplarının bu ağı oluşturduğu düşünülmektedir. LapDogs, geniş çaplı bir siber saldırı kampanyası yürütmektedir.
Hedef Alınan Bölgeler
LapDogs ağının hedef almış olduğu bölgeler arasında, ABD ve Güneydoğu Asya yüksek bir yoğunluğa sahiptir. Ayrıca, Japonya, Güney Kore, Hong Kong ve Tayvan gibi diğer bölgelerde de enfekte olmuş cihazlar bulunmaktadır. Bu suçlamalar, bilişim teknolojileri, ağ hizmetleri, emlak ve medya sektörlerinde yer alan birçok şirkete yöneltilmiştir.
LapDogs ağındaki enfekte cihazlar arasında, Ruckus Wireless, ASUS, Buffalo Technology, Cisco-Linksys, D-Link, Microsoft, Panasonic ve Synology gibi markalara ait ürünler yer almaktadır. Bu durum, ağın ne kadar geniş bir alana yayıldığını göstermektedir.
Kötü Amaçlı Yazılım: ShortLeash
LapDogs ağının merkezinde bulunan kötü amaçlı yazılım ShortLeash olarak adlandırılmaktadır. Bu yazılım, enfekte olan cihazları ağa dahil etmek için özelleştirilmiştir. Bir kez kurulduktan sonra, sahte bir Nginx web sunucusu kurarak, “LAPD” ismiyle kendini doğrulayan bir TLS sertifikası oluşturur. Bu referans, ağa isim verilmesinde etkili olmuştur.
ShortLeash, öncelikle Linux tabanlı SOHO cihazlarını hedef almak üzere tasarlanmış bir shell script ile dağıtılmaktadır. Ancak kullanıma sunulan Windows versiyonlarına ait bulgular da bulunmaktadır. Bu tür saldırılar, bilinen güvenlik açıklarını kullanarak başlatılmaktadır. Özellikle CVE-2015-1548 ve CVE-2017-17663 gibi zafiyetler yaygın olarak kullanılmaktadır.
LapDogs’ın Faaliyetleri
LapDogs ile ilgili ilk faaliyetler, 2023 yılının Eylül ayında Tayvan’da tespit edilmiştir. Ardından, 2024 yılının Ocak ayında ikinci bir saldırı kaydedilmiştir. Yapılan araştırmalara göre, saldırılar genellikle belirli bir grup cihazı etkilemek üzere düzenlenmektedir; her bir parti en fazla 60 cihazı enfekte etmektedir. Şu ana kadar toplamda 162 ayrı saldırı kümesi tanımlanmıştır.
Bu ağ, daha önce PolarEdge olarak adlandırılan başka bir küme ile bazı benzerlikler göstermektedir. PolarEdge, 2023 yılının sonlarından itibaren yönlendiriciler ve diğer IoT cihazlarındaki bilinen güvenlik açıklarından yararlanmayı hedeflemektedir.
LapDogs ve PolarEdge Farkları
LapDogs ve PolarEdge ağları arasında belirgin farklar vardır. LapDogs, kurulum süreci, devamlılık yöntemleri ve VPS ile Windows sistemlerini hedef alma kabiliyeti açısından farklılık göstermektedir. SecurityScorecard’ın belirttiğine göre, PolarEdge arkadaşı CGI scriptini, operatörün belirlediği bir webshell ile değiştirirken, ShortLeash yalnızca sistem dizinine bir .service dosyası ekleyerek hizmetin yeniden başlatılmasında kalıcılık sağlıyor.
Çin ile Bağlantılı Tehdit Aktörleri
Analizler, UAT-5918 olarak adlandırılan ve Çin ile bağlantılı olduğu düşünülen bir hacker grubunun, LapDogs’ı Tayvan’a yönelik en az bir operasyonunda kullandığını göstermektedir. Şu anda, UAT-5918’in bu ağın arkasında olup olmadığını belirlemek mümkün değildir. Ancak, bu durum, Çinli tehdit aktörlerinin ORB ağlarını kullanarak hedeflerini daha iyi saklama stratejileri geliştirdiğini ortaya koymaktadır.
Siber Güvenlikte Gelişmeler
Google Mandiant, Sygnia ve SentinelOne gibi şirketler, Çinli tehdit aktörlerinin ORB ağlarını kullanma eğilimini daha önce belgelediler. Bu durumun, hedefe yönelik çalışmalarda giderek daha fazla benimsenen bir strateji haline geldiği anlaşılmaktadır. ORB ağları, çeşitli aşamalarda kullanılabilir ve bu da onları siber saldırılarda son derece etkin kılmaktadır.
Özellikle, ORB ağlarının büyük, meşru internete açık cihazlardan veya sanal hizmetlerden oluştuğu bilinmektedir. Bu tür ağlar, istihbarat toplama, gizlenme, ağ akış verilerini toplama, açık portları ve zafiyetleri tarama gibi birçok aşamaya katkıda bulunabilir.
Siber güvenlik üzerinden yapılan bu tür saldırılar, dünya genelinde endişe verici bir tehdit haline gelmektedir. Bu nedenle, bireylerin ve organizasyonların siber güvenlik önlemlerini güçlendirmeleri hayati bir önem taşımaktadır.
