Ваш роутер работает на Китай — как ORB-сети превращают домашнее железо в оружие

изображение: grok
Хакерская группировка с китайскими корнями расширяет прокси-инфраструктуру из взломанных маршрутизаторов, применяя три новые вредоносные программы собственной разработки. Операторы захватывают устройства ASUS и Ruckus через давно известные бреши, превращая роутеры пользователей и компаний по всему миру в промежуточные узлы для маскировки атак. Российские владельцы сетевого оборудования тоже под ударом — маршрутизаторы этих производителей широко распространены в отечественном корпоративном секторе и у домашних пользователей.
Специалисты Cisco Talos зафиксировали активность кластера UAT-7810 и с высокой долей уверенности связали его с Китаем. Группировка занимается тем, что собирает и обслуживает так называемые ORB-сети — Operational Relay Box, — которые представляют собой инфраструктуру из взломанного сетевого железа. Через эти узлы другие хакеры прогоняют свой трафик, скрывая реальное местоположение и источник атаки. Схема удобна тем, что защитникам сложно понять, откуда пришёл злоумышленник, а сам оператор ORB получает возможность продавать доступ к своей сети сторонним группам.
Отмечается, что LapDogs выполняет роль крупной промежуточной инфраструктуры, через которую разные группы могут маршрутизировать свои операции, оставаясь незаметными.
Одна из сетей под управлением UAT-7810 носит название LapDogs и была обнаружена ещё в 2025 году. За прошедшее время она заметно разрослась. Схема пополнения парка захваченных устройств строится максимально прагматично — операторы не разрабатывают новые эксплойты, а пользуются старыми дырами, которые владельцы техники не удосужились закрыть. Расчёт простой — большинство пользователей и админов откладывают обновление прошивки маршрутизаторов на неопределённый срок, если вообще о нём вспоминают.
Уязвимости, через которые идёт заражение, распределяются следующим образом:
- маршрутизаторы Ruckus стали основной мишенью с 2025 года, эксплуатация идёт до сих пор;
- в начале 2026 года операторы переключили внимание на устройства ASUS;
- используются публично известные бреши, для которых давно выпущены патчи;
- уязвимые устройства подключаются к уже существующей сети ретрансляции;
- часть заражённого оборудования работает на архитектуре MIPS.
Арсенал вредоносного ПО у группировки заметно вырос за последний год. Флагманским инструментом остаётся бэкдор LONGLEASH — обновлённая версия более ранней программы. В новой сборке разработчики добавили функцию проксирования сетевого трафика и механизм передачи команд другим заражённым узлам, что превращает каждое устройство в полноценный ретранслятор.
Помимо доработанного LONGLEASH исследователи Cisco Talos наткнулись на две программы, о которых раньше ничего известно не было. Первая называется DOGLEASH и заточена под выполнение команд на скомпрометированных Linux-машинах — это расширяет возможности группировки далеко за пределы одних только домашних роутеров. Вторая программа, JARLEASH, написана на Java и предназначена для управления серверами, которые входят в инфраструктуру операторов. При разборе кода JARLEASH аналитики нашли комментарии на упрощённом китайском — это косвенно указывает на языковую принадлежность разработчиков, хотя прямым доказательством географии не является.
Стоит обратить внимание на то, что группа тестирует свои инструменты и под нестандартные архитектуры процессоров, что расширяет круг потенциально уязвимых устройств.
Российским пользователям и организациям расслабляться не стоит — маршрутизаторы ASUS десятилетиями поставлялись в отечественную розницу и до сих пор стоят у миллионов домашних пользователей, малого бизнеса и в филиалах крупных компаний. Оборудование Ruckus массово применяется в корпоративных Wi-Fi-сетях, гостиницах, вузах и офисных центрах России. Если такой роутер попадёт в сеть UAT-7810, он превратится в промежуточный узел для атак, которые формально будут вестись с российского IP-адреса — со всеми юридическими и репутационными последствиями для владельца устройства.
Что стоит проверить прямо сейчас владельцам сетевого оборудования:
- версию прошивки на маршрутизаторе и наличие свежих обновлений от производителя;
- открытые наружу порты управления и веб-интерфейс администратора;
- логи подключений и подозрительный исходящий трафик к незнакомым адресам;
- смену дефолтных паролей на административные учётные записи;
- отключение удалённого доступа к устройству, если он не нужен.
Инфраструктура UAT-7810 продолжает работать, и её серверы остаются активными. Группировка не останавливается на достигнутом — арсенал регулярно пополняется, а сеть захваченных устройств расширяется под новые типы железа. По словам аналитиков Cisco Talos, платформа постепенно превращается в универсальный инструмент, доступный сразу нескольким группировкам, которым нужна маскировка.
Меры защиты, которые снижают риск попадания в ORB-сеть:
- регулярная установка обновлений прошивки от производителя оборудования;
- сегментация сети и вынос IoT-устройств в отдельный VLAN;
- мониторинг исходящих подключений на предмет аномальной активности;
- отказ от использования сетевого оборудования без поддержки от вендора;
- проверка домашних роутеров через сервисы диагностики компрометации.
Ранее сообщалось, что китайские власти рассматривают возможность ограничить доступ иностранных пользователей к наиболее современным отечественным моделям искусственного интеллекта. По данным источников, Пекин намерен перевести передовые ИИ-разработки из категории коммерческих продуктов в разряд стратегически значимых технологий. В случае принятия соответствующих мер зарубежным разработчикам придётся использовать менее производительные версии китайских моделей либо переходить на решения американских компаний.
В редакции CISOCLUB заявили, что схема с ORB-сетями давно перестала быть экзотикой и превратилась в отдельный сегмент теневого рынка киберуслуг. Редакция считает, что рост активности UAT-7810 отражает более широкий тренд — атакующие всё меньше вкладываются в поиск новых уязвимостей и всё больше монетизируют старые. Пользователи и админы, откладывающие обновление роутеров, фактически субсидируют работу подобных группировок своими руками.
Отдельная проблема для России в том, что оборудование ASUS и Ruckus массово стоит в отечественных сетях, а замена его на альтернативы идёт медленно. По этому поводу редакция рекомендует рассматривать сетевое железо не как коробку, которую поставил и забыл, а как полноценный узел ИТ-инфраструктуры с собственным жизненным циклом обслуживания. Иначе завтра ваш роутер окажется частью чужой атаки, а разбираться с последствиями придётся вам.



