中國駭客架設Operational Relay Box（ORB）網路用於攻擊活動，藉此隱匿行蹤，一年多前資安業者Mandiant曾對這種手法提出警告，當時研究人員發現駭客利用虛擬專用伺服器（VPS），以及存在弱點的物聯網（IoT）裝置、路由器組成ORB網路，藉此混淆受害裝置與C2基礎設施的流量，這種網路相當難以捉摸，其中一個在2019年就開始運作。如今有研究人員指出，有人在兩年前也架設這類網路設施，直到最近才被發現。

資安業者SecurityScorecard揭露名為LapDogs的ORB網路，駭客主要透過小型辦公室（SOHO）的Linux作業系統裝置建置而成，研判最早從2023年9月開始運作並逐步擴張規模，至少有一千臺受到感染的節點在積極活動。這些駭客主要利用後門程式ShortLeash入侵受害裝置，使得攻擊者能隱密地從事活動。

此ORB網路的攻擊具有高度地域性，駭客主要用於攻擊臺灣、香港、韓國、日本，但在其他東南亞國家與美國也有災情。受害組織涵蓋房仲業者、IT與網路服務業者、多媒體公司等領域。附帶一提的是，研究人員提及LapDogs與名為PolarEdge的ORB網路有共通的基礎設施特性，但戰術、手段、流程（TTP）與憑證管理存在不同的地方，因此他們認為LapDogs是獨立的ORB網路。

而對於駭客使用的後門程式，研究人員指出，當中採用了自行簽署的TLS憑證，此憑證由LAPD發行，駭客可能是打算冒充洛杉磯警局（Los Angeles Police Department）的名義，混淆視聽。

特別的是，雖然駭客同時打造Windows和Linux版本的ShortLeash，但他們似乎偏好針對Linux作業系統的裝置下手。駭客先使用Bash指令碼取得本機root權限，並檢查作業系統類型（Ubuntu、CentOS，或其他作業系統），備份特定惡意服務組態檔案、以系統處理程序轉譯現有的服務，使其在背景執行，並在受害裝置重開機後也會重新載入。

針對這些受感染裝置，SecurityScorecard指出有超過半數（55%）為Ruckus無線基地臺，其次是Buffalo的AirStation無線路由器，而且，這些裝置都位於日本，大部分在東京。但除此之外，研究人員也提及組成LapDogs的節點，還有華碩、Linksys、D-Link、Panasonic、群暉等廠牌的設備。
此外，研究人員指出大部分受害的IP位址當中，都存在了特定的資安漏洞CVE-2015-1548、CVE-2017-17663，這些漏洞皆與老舊版本的ACME mini_httpd有關。

究竟那些人運用LapDogs從事網路攻擊？研究人員提及大多是APT駭客組織，其中一組人馬是UAT-5918。該組織今年3月由思科威脅情報團隊Talos揭露，專門針對臺灣的關鍵基礎設施（CI）下手。

對於SecurityScorecard提及LapDogs針對多家廠牌的物聯網裝置的現象，我們也向這些廠商進行確認，其中，群暉表示他們經過了解後，確認並非產品出現漏洞而被入侵，而是駭客針對使用者未妥善設定或維護的裝置進行掃描及下手。群暉認為LapDogs並非對特定品牌或功能發動攻擊，因此他們呼籲使用者應定期更新韌體、使用強密碼，並避免將管理介面曝露於網際網路。

資料來源：iThome