Nhóm tác chiến mạng LapDogs, được xác định là một tổ chức có liên kết với Trung Quốc (China-Nexus ORB), tiếp tục là mối đe dọa đáng kể trong không gian mạng, đặc biệt nhắm mục tiêu vào các thiết bị và hệ thống cơ sở hạ tầng mạng nhỏ. Các hoạt động của nhóm này thường tập trung vào việc khai thác các lỗ hổng đã biết để thiết lập quyền truy cập ban đầu và duy trì sự hiện diện lâu dài trên các mục tiêu đã xâm nhập.
Một trong những dấu hiệu kỹ thuật nổi bật liên quan đến chiến dịch của LapDogs là việc tận dụng các lỗ hổng bảo mật nghiêm trọng. Hai lỗ hổng quan trọng đã được nhóm này khai thác là CVE-2015-1548 và CVE-2017-17663. Việc khai thác các lỗ hổng này cho phép nhóm thực hiện các hành vi độc hại, từ thu thập thông tin nhạy cảm đến thực thi mã từ xa, tạo điều kiện thuận lợi cho các cuộc tấn công phức tạp hơn.
CVE-2015-1548 mô tả một lỗ hổng tiết lộ thông tin từ xa thông qua việc đọc bộ nhớ tiến trình. Điều này có nghĩa là kẻ tấn công có thể truy cập và trích xuất dữ liệu nhạy cảm từ bộ nhớ của các tiến trình đang chạy trên hệ thống mục tiêu. Thông tin này có thể bao gồm khóa mật mã, thông tin xác thực, dữ liệu cấu hình hoặc các chi tiết vận hành quan trọng khác mà sau đó có thể được sử dụng để leo thang đặc quyền, di chuyển ngang trong mạng hoặc thực hiện các cuộc tấn công tiếp theo. Mặc dù chỉ là tiết lộ thông tin, nhưng khả năng này cung cấp một nền tảng giá trị cho giai đoạn trinh sát và chuẩn bị của cuộc tấn công, giúp kẻ tấn công hiểu rõ hơn về kiến trúc và điểm yếu của hệ thống.
Nguy hiểm hơn là CVE-2017-17663, một lỗ hổng tràn bộ đệm có thể dẫn đến thực thi mã từ xa (Remote Code Execution – RCE). Lỗ hổng này phát sinh khi một chương trình không xử lý đúng cách dữ liệu đầu vào vượt quá kích thước bộ đệm được phân bổ, cho phép kẻ tấn công ghi đè lên các vùng bộ nhớ lân cận. Trong trường hợp của RCE, điều này có thể cho phép kẻ tấn công tiêm và thực thi mã tùy ý trên hệ thống bị ảnh hưởng. Khả năng RCE là cực kỳ nghiêm trọng vì nó cung cấp cho kẻ tấn công toàn quyền kiểm soát hệ thống, cho phép họ cài đặt phần mềm độc hại, tạo tài khoản người dùng mới, truy cập và sửa đổi dữ liệu, hoặc sử dụng hệ thống làm bàn đạp cho các cuộc tấn công khác. Đối với LapDogs, việc khai thác RCE là một phương tiện hiệu quả để thiết lập một điểm xâm nhập vững chắc và bền vững.
Sau khi khai thác thành công, nhóm LapDogs thường triển khai một họ phần mềm độc hại tùy chỉnh có tên là ShortLeash. ShortLeash hoạt động như một cửa hậu (custom backdoor), cung cấp cho kẻ tấn công khả năng truy cập liên tục vào hệ thống bị xâm nhập. Các chức năng của ShortLeash có thể bao gồm việc thực thi các lệnh từ xa, truyền dữ liệu ra ngoài (data exfiltration), tải xuống các mô-đun bổ sung và thiết lập kênh liên lạc bí mật với máy chủ điều khiển (Command and Control – C2) của kẻ tấn công. Sự tinh vi của ShortLeash cho phép LapDogs duy trì sự hiện diện mà không bị phát hiện trong thời gian dài, thu thập thông tin và chuẩn bị cho các giai đoạn tấn công tiếp theo.
Các nền tảng bị khai thác chủ yếu bởi LapDogs bao gồm các thiết bị điểm truy cập không dây Ruckus Wireless và bộ định tuyến không dây Buffalo Technology AirStation. Những thiết bị này, thường được triển khai trong môi trường văn phòng nhỏ/văn phòng tại nhà (SOHO – Small Office/Home Office), là mục tiêu hấp dẫn đối với các tác nhân đe dọa. Lý do là các thiết bị SOHO thường ít được bảo mật hơn so với cơ sở hạ tầng doanh nghiệp lớn, ít được cập nhật firmware và bản vá, và đôi khi được cấu hình với các thiết lập mặc định kém an toàn. Bằng cách xâm nhập các thiết bị này, LapDogs có thể giành quyền kiểm soát các điểm đầu vào mạng, cho phép họ giám sát lưu lượng truy cập, truy cập các tài nguyên nội bộ hoặc sử dụng các thiết bị đã bị xâm nhập làm proxy hoặc máy chủ C2 trong các chiến dịch tấn công tiếp theo. Ngoài ra, các hệ thống dựa trên Linux cũng là mục tiêu ưu tiên của nhóm này, phản ánh khả năng của LapDogs trong việc phát triển và triển khai phần mềm độc hại đa nền tảng.
Một chi tiết đáng chú ý liên quan đến cơ sở hạ tầng được sử dụng bởi LapDogs là việc sử dụng chứng chỉ TLS tự ký (self-signed TLS certificate) giả mạo tổ chức LAPD (Sở Cảnh sát Los Angeles). Việc giả mạo này có thể được sử dụng để tăng cường tính hợp pháp hoặc để đánh lừa các hệ thống phòng thủ mạng và người dùng, khiến chúng tin rằng kết nối hoặc hoạt động đang diễn ra là từ một nguồn đáng tin cậy. Đây là một chiến thuật phổ biến trong các cuộc tấn công nâng cao để né tránh sự phát hiện và gây nhầm lẫn trong quá trình điều tra.
Để giảm thiểu rủi ro từ các nhóm như LapDogs và các cuộc tấn công tương tự, việc áp dụng các biện pháp bảo mật mạnh mẽ là vô cùng cần thiết. Điều này bao gồm:
- Cập nhật và Vá lỗi Định kỳ: Đảm bảo rằng tất cả các thiết bị mạng, đặc biệt là các thiết bị SOHO như điểm truy cập và bộ định tuyến, được cập nhật firmware và áp dụng các bản vá bảo mật mới nhất để khắc phục các lỗ hổng đã biết như CVE-2015-1548 và CVE-2017-17663.
- Giám sát Mạng: Triển khai các giải pháp giám sát mạng để phát hiện các hoạt động bất thường, lưu lượng truy cập đáng ngờ đến và đi từ các thiết bị mạng, và các dấu hiệu của phần mềm độc hại ShortLeash.
- Phân đoạn Mạng: Cách ly các thiết bị SOHO và các hệ thống quan trọng khác thành các phân đoạn mạng riêng biệt để hạn chế khả năng di chuyển ngang của kẻ tấn công trong trường hợp bị xâm nhập.
- Mật khẩu Mạnh và Xác thực Đa yếu tố (MFA): Thực thi chính sách mật khẩu mạnh và sử dụng MFA cho tất cả các tài khoản quản trị và người dùng, đặc biệt trên các thiết bị mạng.
- Kiểm tra Bảo mật Định kỳ: Thực hiện kiểm tra bảo mật và đánh giá lỗ hổng thường xuyên để xác định và khắc phục các điểm yếu tiềm ẩn.
- Cấu hình An toàn: Đảm bảo rằng các thiết bị được cấu hình theo nguyên tắc bảo mật tốt nhất, tắt các dịch vụ không cần thiết và thay đổi mật khẩu mặc định ngay lập tức.
Hiểu rõ các kỹ thuật, công cụ và mục tiêu của các nhóm như LapDogs là yếu tố then chốt để xây dựng một chiến lược phòng thủ mạng hiệu quả, đặc biệt trong bối cảnh các thiết bị SOHO ngày càng trở thành mục tiêu chính của các tác nhân đe dọa.
