Ботнет Raptor Train
Изследователите в областта на киберсигурността са идентифицирали нов ботнет, състоящ се от компрометирани устройства за малък офис/домашен офис (SOHO) и интернет на нещата (IoT). Смята се, че този ботнет се контролира от група за заплаха от китайска национална държава, известна като Flax Typhoon, наричана още Ethereal Panda или RedJuliett.
Изследователите нарекоха ботнета „Raptor Train“. Той е активен поне от май 2020 г. и достигна пик от 60 000 компрометирани устройства до юни 2023 г.
Към днешна дата над 200 000 устройства, включително SOHO рутери, NVR/DVR системи, сървъри за мрежово съхранение (NAS) и IP камери, са били отвлечени от Raptor Train, което го прави един от най-големите спонсорирани от държавата IoT ботнети, свързани с Китай .
Съдържание
Експерти изчисляват, че влакът Raptor е засегнал над 200 000 устройства
Смята се, че инфраструктурата на ботнета е компрометирала стотици хиляди устройства от създаването си. Той работи с помощта на тристепенна архитектура:
Ниво 1: Компрометирани SOHO и IoT устройства
Ниво 2: Сървъри за експлоатация, сървъри за полезен товар и сървъри за командване и управление (C2)
Ниво 3: Централизирани възли за управление и междуплатформен интерфейс на приложението Electron, известен като Sparrow (наричан още Node Comprehensive Control Tool или NCCT)
При тази настройка задачите на бот се инициират от възлите за управление на ниво 3 „Sparrow“, маршрутизират се през сървъри C2 на ниво 2 и в крайна сметка се доставят на ботовете в ниво 1, които формират по-голямата част от мрежата на ботнета.
Целевите устройства включват рутери, IP камери, DVR и NAS системи от различни производители като ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK и Zyxel.
Повечето от възлите от ниво 1 са проследени до места в САЩ, Тайван, Виетнам, Бразилия, Хонконг и Турция. Всеки възел има среден живот от 17,44 дни, което предполага, че заплахата може лесно да инфектира повторно устройствата, когато е необходимо.
Подробности за Raptor Train Attack Chain
В много случаи операторите не са внедрили механизъм за устойчивост, който оцелява след рестартиране. Устойчивостта на ботнета обаче се поддържа от обширната гама експлойти, налични за различни уязвими SOHO и IoT устройства и големия брой такива устройства онлайн, което придава на Raptor Train нещо като „присъща“ устойчивост.
Възлите са заразени с имплант в паметта, известен като Nosedive, персонализиран вариант на ботнета Mirai, чрез Tier 2 сървъри за полезен товар, специално създадени за тази цел. Този двоичен файл на ELF позволява изпълнение на команди, качване и изтегляне на файлове и DDoS атаки.
Възлите от ниво 2 се сменят приблизително на всеки 75 дни и се намират главно в САЩ, Сингапур, Обединеното кралство, Япония и Южна Корея. Броят на C2 възлите е нараснал от около 1-5 между 2020 г. и 2022 г. до поне 60 между юни и август 2024 г.
Тези възли от ниво 2 са многофункционални, като служат не само като сървъри за експлоатация и полезен товар, но също така улесняват разузнаването на целеви обекти и включват нови устройства в ботнета.
Разкрити са множество кампании за нападение с влак Raptor
От средата на 2020 г. най-малко четири отделни кампании са свързани с развиващата се ботнет Raptor Train, всяка от които се характеризира с различни основни домейни и целеви устройства:
- Crossbill (май 2020 г. до април 2022 г.) - Използва C2 основния домейн k3121.com и свързаните с него поддомейни.
- Финч (юли 2022 г. до юни 2023 г.) – Използва основния домейн C2 b2047.com и свързаните поддомейни C2.
- Canary (май 2023 г. до август 2023 г.) – Използва също C2 основния домейн b2047.com и неговите поддомейни, но разчита на многоетапни капкомери.
- Oriole (юни 2023 г. до септември 2024 г.) - Използва C2 основния домейн w8510.com и свързаните с него поддомейни.
Кампанията Canary е особено забележителна с акцента си върху модеми ActionTec PK5000, IP камери Hikvision, NVRs Shenzhen TVT и рутери ASUS. Той се отличава с многопластова верига за заразяване, която първо изтегля bash скрипт, който след това се свързва към Tier 2 полезен сървър, за да извлече Nosedive и bash скрипт от втори етап.
Властите предприемат действия срещу Raptor Train и Flax Typhoon
Министерството на правосъдието на САЩ (DoJ) обяви премахването на ботнета Raptor Train след разрешена от съда правоприлагаща операция. Министерството на правосъдието свърза заплахата от Flax Typhoon с публично търгувана компания, базирана в Пекин, наречена Integrity Technology Group.
Тази мрежа от зловреден софтуер свързва хиляди заразени устройства с ботнет, управляван от Integrity Technology Group. Използван е за извършване на заплашителни кибернетични дейности, маскирани като редовен интернет трафик от заразените устройства.
По време на операцията органите на реда иззеха инфраструктурата на нападателите и издадоха команди за дезактивиране на зловредния софтуер на заразените устройства. Актьорите на заплахата се опитаха да попречат на това усилие, като стартираха DDoS атака срещу сървърите, използвани от Федералното бюро за разследване (ФБР), за да изпълнят съдебната заповед, но тези опити бяха неуспешни.
Според DoJ, Integrity Technology Group управлява онлайн приложение, което позволява на клиентите да влизат и да контролират компрометирани устройства. Това приложение, наречено „KRLab“ и предлагано на пазара под водещата публична марка на Integrity Technology Group, включваше инструмент, наречен „arsenal за уязвимости“ за изпълнение на вредни кибер команди.
До юни 2024 г. ботнетът нарасна до над 260 000 устройства, като жертвите бяха разположени в Северна Америка (135 300), Европа (65 600), Азия (50 400), Африка (9 200), Океания (2 400) и Южна Америка (800).
Освен това, над 1,2 милиона записа на компрометирани устройства бяха открити в MySQL база данни, хоствана на Tier 3 сървър за управление. Този сървър, управляван чрез приложението Sparrow, беше използван за контрол на ботнет и C2 сървъри и включваше модул за използване на компютърни мрежи, използвайки както известни, така и уязвимости от нулев ден.
