Raptor Train Botnet

সাইবারসিকিউরিটি গবেষকরা আপোসকৃত ছোট অফিস/হোম অফিস (SOHO) এবং ইন্টারনেট অফ থিংস (IoT) ডিভাইস সমন্বিত একটি নতুন বটনেট চিহ্নিত করেছেন। এই বটনেটটিকে ফ্ল্যাক্স টাইফুন নামে পরিচিত একটি চীনা জাতি-রাষ্ট্র হুমকি গোষ্ঠী দ্বারা নিয়ন্ত্রিত বলে মনে করা হয়, যাকে ইথারিয়াল পান্ডা বা রেডজুলিটও বলা হয়।

গবেষকরা বটনেটের নাম দিয়েছেন 'র‍্যাপ্টর ট্রেন'। এটি কমপক্ষে মে 2020 থেকে সক্রিয় হয়েছে এবং 2023 সালের জুনের মধ্যে 60,000 আপস করা ডিভাইসের শীর্ষে পৌঁছেছে।

আজ অবধি, SOHO রাউটার, NVR/DVR সিস্টেম, নেটওয়ার্ক-সংযুক্ত স্টোরেজ (NAS) সার্ভার এবং IP ক্যামেরা সহ 200,000 টিরও বেশি ডিভাইস, Raptor Train দ্বারা হাইজ্যাক করা হয়েছে, যা এটিকে চীনের সাথে সংযুক্ত রাষ্ট্র-স্পন্সরকৃত IoT বটনেটগুলির মধ্যে একটি করে তুলেছে। .

বিশেষজ্ঞরা অনুমান করেছেন যে র্যাপ্টর ট্রেন 200,000 টিরও বেশি ডিভাইসকে প্রভাবিত করেছে

বটনেটের অবকাঠামো তার সূচনা থেকে কয়েক হাজার ডিভাইসের সাথে আপস করেছে বলে মনে করা হয়। এটি একটি তিন-স্তরযুক্ত আর্কিটেকচার ব্যবহার করে কাজ করে:

স্তর 1: আপস করা SOHO এবং IoT ডিভাইস

টায়ার 2: শোষণ সার্ভার, পেলোড সার্ভার এবং কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার

টায়ার 3: সেন্ট্রালাইজড ম্যানেজমেন্ট নোড এবং একটি ক্রস-প্ল্যাটফর্ম ইলেক্ট্রন অ্যাপ্লিকেশন ইন্টারফেস যা স্প্যারো নামে পরিচিত (এটি নোড কমপ্রিহেনসিভ কন্ট্রোল টুল, বা NCCTও বলা হয়)

এই সেটআপে, বট কাজগুলি টিয়ার 3 'স্প্যারো' ম্যানেজমেন্ট নোড থেকে শুরু করা হয়, যা টিয়ার 2 C2 সার্ভারের মাধ্যমে রুট করা হয় এবং শেষ পর্যন্ত টিয়ার 1-এর বটগুলিতে বিতরণ করা হয়, যা বটনেটের নেটওয়ার্কের অধিকাংশ গঠন করে।

টার্গেট করা ডিভাইসগুলির মধ্যে রয়েছে রাউটার, আইপি ক্যামেরা, ডিভিআর, এবং অ্যাকশনটেক, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, টেন্ডা, TOTOLINK, এর মতো বিভিন্ন নির্মাতার NAS সিস্টেম। -LINK এবং Zyxel.

টিয়ার 1 নোডগুলির বেশিরভাগই মার্কিন যুক্তরাষ্ট্র, তাইওয়ান, ভিয়েতনাম, ব্রাজিল, হংকং এবং তুরস্কের অবস্থানগুলিতে চিহ্নিত করা হয়েছে৷ প্রতিটি নোডের গড় আয়ুষ্কাল 17.44 দিন, এটি পরামর্শ দেয় যে হুমকি অভিনেতা যখনই প্রয়োজন তখন সহজেই ডিভাইসগুলি পুনরায় সংক্রামিত করতে পারে।

Raptor ট্রেন অ্যাটাক চেইন সম্পর্কে বিশদ বিবরণ

অনেক ক্ষেত্রে, অপারেটররা একটি অধ্যবসায় পদ্ধতি প্রয়োগ করেনি যা একটি রিবুট থেকে বেঁচে থাকে। বটনেটের অধ্যবসায়, তবে, বিভিন্ন দুর্বল SOHO এবং IoT ডিভাইসের জন্য উপলব্ধ বিস্তৃত শোষণ এবং অনলাইনে এই ধরনের সংখ্যক ডিভাইসের দ্বারা সমর্থিত, যা Raptor Train-কে এক ধরণের 'অন্তর্নিহিত' অধ্যবসায় দেয়।

এই উদ্দেশ্যে বিশেষভাবে সেট আপ করা Tier 2 পেলোড সার্ভারের মাধ্যমে নোডগুলি একটি ইন-মেমরি ইমপ্লান্ট দ্বারা সংক্রামিত হয় যা Nosedive নামে পরিচিত, Mirai botnet এর একটি কাস্টম রূপ। এই ELF বাইনারি কমান্ড এক্সিকিউশন, ফাইল আপলোড এবং ডাউনলোড এবং DDoS আক্রমণের অনুমতি দেয়।

টায়ার 2 নোডগুলি প্রায় প্রতি 75 দিনে ঘোরানো হয় এবং প্রধানত মার্কিন যুক্তরাষ্ট্র, সিঙ্গাপুর, যুক্তরাজ্য, জাপান এবং দক্ষিণ কোরিয়াতে অবস্থিত। C2 নোডের সংখ্যা 2020 এবং 2022 এর মধ্যে প্রায় 1-5 থেকে বেড়ে জুন এবং আগস্ট 2024 এর মধ্যে কমপক্ষে 60 হয়েছে।

এই টিয়ার 2 নোডগুলি বহুমুখী, শুধুমাত্র শোষণ এবং পেলোড সার্ভার হিসাবেই নয় বরং লক্ষ্যযুক্ত সংস্থাগুলির পুনরুদ্ধার এবং বটনেটে নতুন ডিভাইসগুলিকে অন্তর্ভুক্ত করার সুবিধাও দেয়৷

একাধিক Raptor ট্রেন আক্রমণ প্রচারাভিযান উন্মোচিত হয়েছে

2020 সালের মাঝামাঝি থেকে, ক্রমবর্ধমান র‌্যাপ্টর ট্রেন বটনেটের সাথে অন্তত চারটি স্বতন্ত্র প্রচারাভিযান যুক্ত হয়েছে, প্রতিটি ভিন্ন রুট ডোমেন এবং লক্ষ্যযুক্ত ডিভাইস দ্বারা চিহ্নিত করা হয়েছে:

• ক্রসবিল (মে 2020 থেকে এপ্রিল 2022) - C2 রুট ডোমেন k3121.com এবং এর সাথে সম্পর্কিত সাবডোমেনগুলি ব্যবহার করেছে৷
• ফিঞ্চ (জুলাই 2022 থেকে জুন 2023) - C2 রুট ডোমেন b2047.com এবং সম্পর্কিত C2 সাবডোমেন নিয়োগ করেছে।
• ক্যানারি (মে 2023 থেকে আগস্ট 2023) - এছাড়াও C2 রুট ডোমেন b2047.com এবং এর সাবডোমেন ব্যবহার করা হয়েছে কিন্তু মাল্টি-স্টেজ ড্রপারের উপর নির্ভর করে।
• ওরিওল (জুন 2023 থেকে সেপ্টেম্বর 2024) - C2 রুট ডোমেন w8510.com এবং এর সাথে সম্পর্কিত সাবডোমেনগুলি ব্যবহার করেছে৷

অ্যাকশনটেক PK5000 মডেম, Hikvision IP ক্যামেরা, Shenzhen TVT NVRs এবং ASUS রাউটারগুলিতে মনোযোগ দেওয়ার জন্য ক্যানারি প্রচারাভিযান বিশেষভাবে উল্লেখযোগ্য। এটি একটি মাল্টি-লেয়ার ইনফেকশন চেইন দ্বারা আলাদা করা হয় যা প্রথমে একটি ব্যাশ স্ক্রিপ্ট ডাউনলোড করে, যা পরে নসিডিভ এবং একটি দ্বিতীয় পর্যায়ের ব্যাশ স্ক্রিপ্ট আনতে একটি টিয়ার 2 পেলোড সার্ভারের সাথে সংযোগ করে।

কর্তৃপক্ষ Raptor ট্রেন এবং ফ্ল্যাক্স টাইফুনের বিরুদ্ধে ব্যবস্থা নেয়

ইউএস ডিপার্টমেন্ট অফ ডিপার্টমেন্ট (DoJ) আদালত-অনুমোদিত আইন প্রয়োগকারী অপারেশনের পরে র্যাপ্টর ট্রেন বটনেট সরিয়ে নেওয়ার ঘোষণা দিয়েছে। DoJ ফ্ল্যাক্স টাইফুনের হুমকি অভিনেতাকে ইন্টিগ্রিটি টেকনোলজি গ্রুপ নামে একটি প্রকাশ্যভাবে ব্যবসা করা বেইজিং-ভিত্তিক কোম্পানির সাথে যুক্ত করেছে।

এই ম্যালওয়্যার নেটওয়ার্ক হাজার হাজার সংক্রমিত ডিভাইসকে ইন্টিগ্রিটি টেকনোলজি গ্রুপ দ্বারা পরিচালিত একটি বটনেটের সাথে সংযুক্ত করেছে। এটি সংক্রামিত ডিভাইসগুলি থেকে নিয়মিত ইন্টারনেট ট্র্যাফিকের ছদ্মবেশে হুমকিমূলক সাইবার কার্যক্রম পরিচালনা করতে ব্যবহৃত হয়েছিল।

অপারেশন চলাকালীন, আইন প্রয়োগকারীরা আক্রমণকারীদের অবকাঠামো দখল করে এবং সংক্রামিত ডিভাইসে ম্যালওয়্যারকে নিষ্ক্রিয় করার আদেশ জারি করে। হুমকি অভিনেতারা আদালতের আদেশ কার্যকর করার জন্য ফেডারেল ব্যুরো অফ ইনভেস্টিগেশন (এফবিআই) দ্বারা ব্যবহৃত সার্ভারগুলির বিরুদ্ধে একটি DDoS আক্রমণ শুরু করে এই প্রচেষ্টাকে বাধা দেওয়ার চেষ্টা করেছিল, কিন্তু এই প্রচেষ্টাগুলি ব্যর্থ হয়েছিল৷

DoJ এর মতে, ইন্টিগ্রিটি টেকনোলজি গ্রুপ একটি অনলাইন অ্যাপ্লিকেশন পরিচালনা করেছে যা গ্রাহকদের লগ ইন করতে এবং আপোসকৃত ডিভাইস নিয়ন্ত্রণ করতে দেয়। 'KRLab' নামে এবং ইন্টিগ্রিটি টেকনোলজি গ্রুপের শীর্ষস্থানীয় পাবলিক ব্র্যান্ডের অধীনে বাজারজাত করা এই অ্যাপ্লিকেশনটিতে ক্ষতিকারক সাইবার কমান্ড কার্যকর করার জন্য 'ভালনারেবিলিটি-আর্সেনাল' নামে একটি টুল অন্তর্ভুক্ত রয়েছে।

জুন 2024 নাগাদ, বটনেট 260,000 ডিভাইসে উন্নীত হয়েছে, যার শিকার উত্তর আমেরিকায় (135,300), ইউরোপ (65,600), এশিয়া (50,400), আফ্রিকা (9,200), ওশেনিয়া (2,400) এবং দক্ষিণ আমেরিকা (800)।

অতিরিক্তভাবে, টিয়ার 3 ম্যানেজমেন্ট সার্ভারে হোস্ট করা একটি MySQL ডাটাবেসে আপস করা ডিভাইসের 1.2 মিলিয়নেরও বেশি রেকর্ড পাওয়া গেছে। স্প্যারো অ্যাপ্লিকেশনের মাধ্যমে পরিচালিত এই সার্ভারটি বটনেট এবং C2 সার্ভারগুলি নিয়ন্ত্রণ করতে ব্যবহৃত হয়েছিল এবং পরিচিত এবং শূন্য-দিনের উভয় দুর্বলতা ব্যবহার করে কম্পিউটার নেটওয়ার্কগুলিকে কাজে লাগানোর জন্য একটি মডিউল অন্তর্ভুক্ত করেছিল।