最近発見された中国関連の脅威グループによって制御されるオペレーショナルリレーボックス(ORB)ネットワークは、すでに1,000台以上のデバイスを超え、米国と東アジア全体で拡大していると、SecurityScorecardが月曜日に発表した脅威レポートで述べました。
SecurityScorecardが「LapDogs」と名付けたこのORBネットワークは、主に小規模または家庭用オフィス向けに設計されたルーターで構成されていますが、感染したIoTデバイス、仮想サーバー、IPカメラも含まれています。
研究者によって検出された最初のノードは2023年9月に遡り、ネットワークはそれ以来徐々に成長し、特定の場所に焦点を当てた高度にターゲットを絞った操作を示すように、一度に60台以上のデバイスを感染させることはありません。研究者は162の異なる侵入セットを特定しており、各侵入キャンペーンでより多くのデバイスがORBに追加されています。
「LapDogsの拡大率は上昇しています」と、SecurityScorecardのセキュリティ研究者であるGilad Maizlesはメールで述べました。「キャンペーンはより頻繁になり、数が増えることで、最終的にはネットワークから削除されるよりも多くのデバイスが追加されます。」
感染の3分の1以上が米国に位置し、次いで日本、韓国、台湾、香港が続きます。アクティブな感染は、Ruckus Wireless、Asus、Buffalo Technology、Cisco-Linksys、D-Link、Microsoft、Panasonic、Synologyのデバイスとサービスに広がっています。SecurityScorecardによると、感染したデバイスの半数以上がRuckus Wirelessのアクセスポイントです。
「このネットワークからの感染後の活動はまだ不明です」とMaizlesは述べました。「中国関連のアクターによって使用されるいくつかのORBは共有インフラストラクチャであり、一度に複数の侵入セットをホストおよび促進することができます。これにより、APTの動機、TTP、および感染後の活動に関する質問に答えることが非常に難しくなります。これはまた、ORBが中国関連APTの脅威の中で新たな脅威としてどれほど有害で危険であるかを最終的に示しています。」
ORBネットワークはボットネットよりも複雑で、制御する脅威グループに通常はスパイ活動に使用されるより多くのステルス機能を提供します。
ボットネットは、インターネットに接続された多くのデバイスや仮想サービスに依存する点で似ていますが、「ORBネットワークはスイスアーミーナイフのようなもので、侵入ライフサイクルのどの段階にも貢献できます」とSecurityScorecardの研究者はレポートで述べました。これには、偵察、匿名化されたブラウジング、ポートおよび脆弱性スキャンのためのネットワークトラフィックデータの収集、ノードの再構成、および盗まれたデータの上流への中継が含まれます。
Mandiant Intelligenceは以前、中国の国家支援の脅威グループがORBネットワークの使用を増やしていることを、スパイ活動を隠すための「常に進化するメッシュネットワークを作成するための低コストの演習」として記録しました。
ORBネットワークは、攻撃者が制御するアーキテクチャの概念を削り取り、ネットワークインフラストラクチャを毎月循環させるため、Mandiantの研究者は、侵害の指標の排除が加速していると警告しています。これらのORBネットワークの運用特性により、脅威の研究者が感染したノード上の異常な活動を発見し、特定することが難しくなっています。
LapDogsによって感染したデバイスの数は他のORBよりも少ないですが、それはおそらくORBを運営する脅威グループによる意図的な決定によるものだとMaizlesは述べました。
「我々は、過去2年間にわたってORBをレーダーの下に保つ試みであると推測しています」と彼は述べました。「LapDogsは長期的で秘密裏の局所的な操作に利用される可能性があり、それは広範な感染よりも特定の組織に対してはるかに大きな影響を与える可能性があります。」