Ваш роутер работает на Китай — как ORB-сети превращают домашнее железо в оружие

Ваш роутер работает на Китай — как ORB-сети превращают домашнее железо в оружие

изображение: grok

Хакерская группировка с китайскими корнями расширяет прокси-инфраструктуру из взломанных маршрутизаторов, применяя три новые вредоносные программы собственной разработки. Операторы захватывают устройства ASUS и Ruckus через давно известные бреши, превращая роутеры пользователей и компаний по всему миру в промежуточные узлы для маскировки атак. Российские владельцы сетевого оборудования тоже под ударом — маршрутизаторы этих производителей широко распространены в отечественном корпоративном секторе и у домашних пользователей.

Специалисты Cisco Talos зафиксировали активность кластера UAT-7810 и с высокой долей уверенности связали его с Китаем. Группировка занимается тем, что собирает и обслуживает так называемые ORB-сети — Operational Relay Box, — которые представляют собой инфраструктуру из взломанного сетевого железа. Через эти узлы другие хакеры прогоняют свой трафик, скрывая реальное местоположение и источник атаки. Схема удобна тем, что защитникам сложно понять, откуда пришёл злоумышленник, а сам оператор ORB получает возможность продавать доступ к своей сети сторонним группам.

Отмечается, что LapDogs выполняет роль крупной промежуточной инфраструктуры, через которую разные группы могут маршрутизировать свои операции, оставаясь незаметными.

Одна из сетей под управлением UAT-7810 носит название LapDogs и была обнаружена ещё в 2025 году. За прошедшее время она заметно разрослась. Схема пополнения парка захваченных устройств строится максимально прагматично — операторы не разрабатывают новые эксплойты, а пользуются старыми дырами, которые владельцы техники не удосужились закрыть. Расчёт простой — большинство пользователей и админов откладывают обновление прошивки маршрутизаторов на неопределённый срок, если вообще о нём вспоминают.

Уязвимости, через которые идёт заражение, распределяются следующим образом:

  • маршрутизаторы Ruckus стали основной мишенью с 2025 года, эксплуатация идёт до сих пор;
  • в начале 2026 года операторы переключили внимание на устройства ASUS;
  • используются публично известные бреши, для которых давно выпущены патчи;
  • уязвимые устройства подключаются к уже существующей сети ретрансляции;
  • часть заражённого оборудования работает на архитектуре MIPS.

Арсенал вредоносного ПО у группировки заметно вырос за последний год. Флагманским инструментом остаётся бэкдор LONGLEASH — обновлённая версия более ранней программы. В новой сборке разработчики добавили функцию проксирования сетевого трафика и механизм передачи команд другим заражённым узлам, что превращает каждое устройство в полноценный ретранслятор.

Помимо доработанного LONGLEASH исследователи Cisco Talos наткнулись на две программы, о которых раньше ничего известно не было. Первая называется DOGLEASH и заточена под выполнение команд на скомпрометированных Linux-машинах — это расширяет возможности группировки далеко за пределы одних только домашних роутеров. Вторая программа, JARLEASH, написана на Java и предназначена для управления серверами, которые входят в инфраструктуру операторов. При разборе кода JARLEASH аналитики нашли комментарии на упрощённом китайском — это косвенно указывает на языковую принадлежность разработчиков, хотя прямым доказательством географии не является.

Стоит обратить внимание на то, что группа тестирует свои инструменты и под нестандартные архитектуры процессоров, что расширяет круг потенциально уязвимых устройств.

Российским пользователям и организациям расслабляться не стоит — маршрутизаторы ASUS десятилетиями поставлялись в отечественную розницу и до сих пор стоят у миллионов домашних пользователей, малого бизнеса и в филиалах крупных компаний. Оборудование Ruckus массово применяется в корпоративных Wi-Fi-сетях, гостиницах, вузах и офисных центрах России. Если такой роутер попадёт в сеть UAT-7810, он превратится в промежуточный узел для атак, которые формально будут вестись с российского IP-адреса — со всеми юридическими и репутационными последствиями для владельца устройства.

Что стоит проверить прямо сейчас владельцам сетевого оборудования:

  • версию прошивки на маршрутизаторе и наличие свежих обновлений от производителя;
  • открытые наружу порты управления и веб-интерфейс администратора;
  • логи подключений и подозрительный исходящий трафик к незнакомым адресам;
  • смену дефолтных паролей на административные учётные записи;
  • отключение удалённого доступа к устройству, если он не нужен.

Инфраструктура UAT-7810 продолжает работать, и её серверы остаются активными. Группировка не останавливается на достигнутом — арсенал регулярно пополняется, а сеть захваченных устройств расширяется под новые типы железа. По словам аналитиков Cisco Talos, платформа постепенно превращается в универсальный инструмент, доступный сразу нескольким группировкам, которым нужна маскировка.

Меры защиты, которые снижают риск попадания в ORB-сеть:

  • регулярная установка обновлений прошивки от производителя оборудования;
  • сегментация сети и вынос IoT-устройств в отдельный VLAN;
  • мониторинг исходящих подключений на предмет аномальной активности;
  • отказ от использования сетевого оборудования без поддержки от вендора;
  • проверка домашних роутеров через сервисы диагностики компрометации.

Ранее сообщалось, что китайские власти рассматривают возможность ограничить доступ иностранных пользователей к наиболее современным отечественным моделям искусственного интеллекта. По данным источников, Пекин намерен перевести передовые ИИ-разработки из категории коммерческих продуктов в разряд стратегически значимых технологий. В случае принятия соответствующих мер зарубежным разработчикам придётся использовать менее производительные версии китайских моделей либо переходить на решения американских компаний.

В редакции CISOCLUB заявили, что схема с ORB-сетями давно перестала быть экзотикой и превратилась в отдельный сегмент теневого рынка киберуслуг. Редакция считает, что рост активности UAT-7810 отражает более широкий тренд — атакующие всё меньше вкладываются в поиск новых уязвимостей и всё больше монетизируют старые. Пользователи и админы, откладывающие обновление роутеров, фактически субсидируют работу подобных группировок своими руками.

Отдельная проблема для России в том, что оборудование ASUS и Ruckus массово стоит в отечественных сетях, а замена его на альтернативы идёт медленно. По этому поводу редакция рекомендует рассматривать сетевое железо не как коробку, которую поставил и забыл, а как полноценный узел ИТ-инфраструктуры с собственным жизненным циклом обслуживания. Иначе завтра ваш роутер окажется частью чужой атаки, а разбираться с последствиями придётся вам.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: