Dutzende Cybercrime-Kampagnen mit Fokus auf Asien und die USA wurden als angebliche LAPD-Aktionen getarnt.
FOTOGRIN – shutterstock.com
Cybersecurity-Experten haben ein Netzwerk von mehr als 1.000 kompromittierten Small-Workplace- und Residence-Workplace-Geräten (SOHO) entdeckt. Die Units wurden laut den Experten dazu genutzt, eine langwierige Cyberspionage-Infrastrukturkampagne für chinesische Hacker-Gruppen zu ermöglichen.
ShortLeash als zentrale Schadsoftware
Das Strike-Group von SecurityScorecard entdeckte das dazugehörige Operational-Relay-Field (ORB)-Netzwerk und gab ihm den Namen LapDogs. Bei der Analyse fanden die Forschenden heraus, dass die Opfer vor allem aus den USA und Südostasien stammten. Besonders betroffen waren Japan, Südkorea, Hongkong und Taiwan. Die Malware scheint dabei vor allem bei chinesischen Hackern beliebt gewesen zu sein, wie Berichte von Examine Level, Sygnia und SentinelOne zeigen.
Die Schadsoftware ShortLeash steht dabei im Zentrum der LapDogs-Kampagne, wie die Experten herausfanden. Sie infiziert vor allem Linux-basierte SOHO-Geräte über bekannte Schwachstellen, sogenannte N-Day-Exploits. Dabei tarnt sie sich mit einem gefälschten Nginx-Webserver sowie einem selbstsignierten Zertifikat, welches fälschlicherweise vom Los Angeles Police Division (LAPD) stammen soll. Eine Home windows-Model der Backdoor existiert ebenfalls und wird laut den Experten vermutlich über ein Shell-Skript verbreitet.
