Raptor Train Botnet
تمكن باحثو الأمن السيبراني من تحديد شبكة روبوتات جديدة تتكون من أجهزة مخترقة للمكاتب الصغيرة/المنزلية وأجهزة إنترنت الأشياء. ويُعتقد أن هذه الشبكة الروبوتية تسيطر عليها مجموعة تهديد تابعة لدولة صينية تُعرف باسم Flax Typhoon، والتي يُشار إليها أيضًا باسم Ethereal Panda أو RedJuliett.
أطلق الباحثون على الشبكة اسم "قطار رابتور"، وهي نشطة منذ مايو 2020 على الأقل وبلغت ذروتها عند 60 ألف جهاز مخترق بحلول يونيو 2023.
حتى الآن، تم اختطاف أكثر من 200 ألف جهاز، بما في ذلك أجهزة توجيه SOHO، وأنظمة NVR/DVR، وخوادم التخزين المرفقة بالشبكة (NAS)، وكاميرات IP، بواسطة Raptor Train، مما يجعلها واحدة من أكبر شبكات الروبوتات الخاصة بإنترنت الأشياء التي ترعاها الدولة والمرتبطة بالصين.
جدول المحتويات
ويقدر الخبراء أن قطار رابتور قد أثر على أكثر من 200 ألف جهاز
يُعتقد أن البنية الأساسية لشبكة الروبوتات قد تسببت في اختراق مئات الآلاف من الأجهزة منذ إنشائها. وهي تعمل باستخدام بنية ثلاثية المستويات:
المستوى 1: أجهزة SOHO وIoT المعرضة للخطر
المستوى 2: خوادم الاستغلال وخوادم الحمولة وخوادم القيادة والتحكم (C2)
المستوى 3: عقد إدارة مركزية وواجهة تطبيق Electron متعددة الأنظمة المعروفة باسم Sparrow (وتسمى أيضًا أداة التحكم الشاملة في العقد، أو NCCT)
في هذا الإعداد، يتم بدء مهام الروبوت من عقد إدارة "Sparrow" من المستوى 3، وتوجيهها عبر خوادم C2 من المستوى 2، وتسليمها في النهاية إلى الروبوتات في المستوى 1، والتي تشكل غالبية شبكة الروبوتات.
وتشمل الأجهزة المستهدفة أجهزة التوجيه وكاميرات IP وأجهزة تسجيل الفيديو الرقمي وأنظمة NAS من مختلف الشركات المصنعة مثل ActionTec و ASUS و DrayTek و Fujitsu و Hikvision و Mikrotik و Mobotix و Panasonic و QNAP و Ruckus Wireless و Shenzhen TVT و Synology و Tenda و TOTOLINK و TP-LINK و Zyxel.
تم تتبع معظم العقد من المستوى الأول إلى مواقع في الولايات المتحدة وتايوان وفيتنام والبرازيل وهونج كونج وتركيا. يبلغ متوسط عمر كل عقدة 17.44 يومًا، مما يشير إلى أن الجهة المسؤولة عن التهديد يمكنها إعادة إصابة الأجهزة بسهولة عند الحاجة.
تفاصيل حول سلسلة هجوم قطار رابتور
في كثير من الحالات، لم ينفذ المشغلون آلية استمرارية تصمد بعد إعادة التشغيل. ومع ذلك، فإن استمرارية شبكة الروبوتات مدعومة بمجموعة واسعة من الثغرات المتاحة لأجهزة SOHO وIoT المعرضة للخطر والعدد الكبير من هذه الأجهزة المتصلة بالإنترنت، مما يمنح Raptor Train نوعًا من الاستمرارية "المتأصلة".
يتم إصابة العقد بزرع في الذاكرة يُعرف باسم Nosedive، وهو نوع مخصص من شبكة الروبوتات Mirai، من خلال خوادم الحمولة من المستوى 2 التي تم إعدادها خصيصًا لهذا الغرض. يسمح ملف ELF الثنائي هذا بتنفيذ الأوامر وتحميل الملفات وتنزيلها وهجمات الحرمان من الخدمة الموزعة.
يتم تدوير عقد المستوى 2 كل 75 يومًا تقريبًا وتقع بشكل أساسي في الولايات المتحدة وسنغافورة والمملكة المتحدة واليابان وكوريا الجنوبية. وقد زاد عدد عقد المستوى 2 من حوالي 1-5 بين عامي 2020 و2022 إلى 60 عقدة على الأقل بين يونيو وأغسطس 2024.
تعتبر هذه العقد من المستوى 2 متعددة الاستخدامات، حيث لا تعمل كخوادم استغلال وحمولة فحسب، بل تعمل أيضًا على تسهيل استطلاع الكيانات المستهدفة ودمج الأجهزة الجديدة في شبكة الروبوتات.
تم الكشف عن حملات متعددة لشن هجمات على قطارات رابتور
منذ منتصف عام 2020، ارتبطت أربع حملات مميزة على الأقل بشبكة الروبوتات Raptor Train المتطورة، وتتميز كل منها بنطاقات جذرية مختلفة وأجهزة مستهدفة مختلفة:
- Crossbill (مايو 2020 إلى أبريل 2022) - تم استخدام نطاق الجذر C2 k3121.com والمجالات الفرعية المرتبطة به.
- فينش (يوليو 2022 إلى يونيو 2023) - استخدم نطاق الجذر C2 b2047.com والنطاقات الفرعية C2 ذات الصلة.
- Canary (مايو 2023 إلى أغسطس 2023) - استخدم أيضًا نطاق الجذر C2 b2047.com ونطاقاته الفرعية ولكنه اعتمد على القطارات متعددة المراحل.
- أوريول (يونيو 2023 إلى سبتمبر 2024) - استخدم نطاق الجذر C2 w8510.com والمجالات الفرعية المرتبطة به.
وتُعد حملة Canary جديرة بالملاحظة بشكل خاص لتركيزها على أجهزة مودم ActionTec PK5000 وكاميرات IP من Hikvision وأجهزة تسجيل الفيديو الرقمي Shenzhen TVT وأجهزة توجيه ASUS. وتتميز بسلسلة عدوى متعددة الطبقات تقوم أولاً بتنزيل نص برمجي bash، والذي يتصل بعد ذلك بخادم حمولة من المستوى 2 لجلب Nosedive ونص برمجي bash في المرحلة الثانية.
السلطات تتخذ إجراءات ضد قطار رابتور وإعصار فلاكس
أعلنت وزارة العدل الأمريكية عن تفكيك شبكة الروبوتات Raptor Train بعد عملية إنفاذ قانون معتمدة من المحكمة. وربطت وزارة العدل بين الجهة المسؤولة عن التهديد Flax Typhoon وشركة عامة مقرها بكين تسمى Integrity Technology Group.
لقد قامت شبكة البرمجيات الخبيثة هذه بربط آلاف الأجهزة المصابة بشبكة روبوتات تديرها مجموعة Integrity Technology Group. وقد تم استخدامها لتنفيذ أنشطة إلكترونية تهديدية متخفية في شكل حركة مرور إنترنت منتظمة من الأجهزة المصابة.
خلال العملية، صادرت أجهزة إنفاذ القانون البنية التحتية للمهاجمين وأصدرت أوامر لتعطيل البرامج الضارة على الأجهزة المصابة. حاول الجناة عرقلة هذه الجهود من خلال شن هجوم DDoS ضد الخوادم التي يستخدمها مكتب التحقيقات الفيدرالي (FBI) لتنفيذ أمر المحكمة، لكن هذه المحاولات باءت بالفشل.
وفقًا لوزارة العدل، قامت مجموعة Integrity Technology Group بتشغيل تطبيق عبر الإنترنت يسمح للعملاء بتسجيل الدخول والتحكم في الأجهزة المخترقة. هذا التطبيق، المسمى "KRLab" والذي يتم تسويقه تحت العلامة التجارية العامة الرائدة لمجموعة Integrity Technology Group، يتضمن أداة تسمى "vulnerability-arsenal" لتنفيذ أوامر إلكترونية ضارة.
بحلول يونيو 2024، نمت شبكة الروبوتات إلى أكثر من 260 ألف جهاز، مع وجود الضحايا في أمريكا الشمالية (135300)، وأوروبا (65600)، وآسيا (50400)، وأفريقيا (9200)، وأوقيانوسيا (2400) وأمريكا الجنوبية (800).
بالإضافة إلى ذلك، تم العثور على أكثر من 1.2 مليون سجل لأجهزة مخترقة في قاعدة بيانات MySQL مستضافة على خادم إدارة من المستوى 3. تم استخدام هذا الخادم الذي تتم إدارته من خلال تطبيق Sparrow للتحكم في شبكة الروبوتات وخوادم C2 وشمل وحدة لاستغلال شبكات الكمبيوتر باستخدام الثغرات المعروفة والثغرات التي لم يتم اكتشافها بعد.
