236/68 (IT) ประจำวันจันทร์ที่ 30 มิถุนายน 2568
นักวิจัยจากทีม STRIKE ของ SecurityScorecard เปิดเผยแคมเปญไซเบอร์ชื่อ “LapDogs” ที่เป็นปฏิบัติการจารกรรมที่เชื่อมโยงกับกลุ่ม China-nexus โดยมีการแฮกอุปกรณ์ SOHO (Small Office/Home Office) มากกว่า 1,000 เครื่อง เพื่อสร้างเครือข่ายลับที่เรียกว่า Operational Relay Box (ORB) สำหรับใช้เป็นฐานส่งต่อคำสั่งและข้อมูลในการสอดแนมระยะยาว โดยเป้าหมายกระจายอยู่ในสหรัฐฯ ญี่ปุ่น เกาหลีใต้ ฮ่องกง และไต้หวัน โดยใช้มัลแวร์ชื่อ “ShortLeash” ฝังตัวลึกในระบบผ่าน root script และเปลี่ยนค่าบริการระบบเพื่อให้ทำงานแบบ persistent ทุกครั้งที่รีบูต
การโจมตีอาศัยมัลแวร์ชื่อ “ShortLeash” ซึ่งเป็น backdoor ที่ทำงานบนระบบปฏิบัติการ Linux โดยมาพร้อมสคริปต์ติดตั้งที่ต้องใช้สิทธิ์ root ในการรัน ตัวสคริปต์จะตรวจสอบว่าเครื่องเป้าหมายใช้ Ubuntu หรือ CentOS และดำเนินการฝังตัวเพื่อให้ทำงานทุกครั้งที่ระบบรีบูต หากพบว่าไม่ใช่ระบบปฏิบัติการที่รองรับ จะปรากฏข้อความภาษาจีนว่า “Unknown System” จากนั้นมัลแวร์จะเปลี่ยนชื่อและแทนที่บริการระบบ เพื่อซ่อนตัวและรักษาความคงอยู่ (persistence) โดย payload หลักของมัลแวร์ถูกเข้ารหัสไว้สองชั้น เมื่อถอดรหัสแล้วจะพบข้อมูลสำคัญ เช่น ใบรับรอง, คีย์ส่วนตัว และ URL สำหรับติดต่อกับ command-and-control server โดยใช้เทคนิคเลียนแบบ Nginx และสุ่มพารามิเตอร์เพื่อหลบเลี่ยงการตรวจจับโดยที่ LapDogs ถูกออกแบบให้เจาะระบบที่หลากหลาย ทั้งอุปกรณ์จาก ASUS, D-Link, Microsoft, Panasonic, Synology และอีกมาก โดยไม่จำกัดยี่ห้อ แต่ขึ้นกับความเข้ากันได้ของระบบปฏิบัติการ อุปกรณ์ที่รันบริการอย่าง GoAhead web server, WRT admin panel หรือ IIS มีความเสี่ยงสูง นอกจากนี้ยังพบว่าหลายเครื่องมีช่องโหว่ที่รู้จักอยู่แล้ว เช่น CVE-2015-1548 และ CVE-2017-17663 ซึ่งเกี่ยวข้องกับ mini_httpd ที่ไม่ได้รับการอัปเดตมานาน
SecurityScorecard ชี้ว่าการโจมตีใน LapDogs มีความซับซ้อนและอาจดำเนินการโดยกลุ่ม APT ที่มีความเชื่อมโยงกับจีน เช่น UAT-5918 โดยพบโค้ดภาษาจีนและความคล้ายคลึงกับปฏิบัติการโจมตีเป้าหมายในไต้หวันก่อนหน้านี้ แม้ยังไม่สามารถยืนยันได้ว่ากลุ่มใดเป็นผู้ควบคุมเครือข่าย ORB โดยตรง แต่ลักษณะการโจมตีชี้ชัดว่ามีเป้าหมายชัดเจนและดำเนินการอย่างต่อเนื่อง ผู้ดูแลระบบควรเร่งประเมินความเสี่ยงในอุปกรณ์ SOHO และระบบ IoT พร้อมปรับแนวทางการตรวจจับและตอบสนองให้ทันต่อภัยคุกคามรูปแบบใหม่นี้
