Raptor Train Botnet
Els investigadors de ciberseguretat han identificat una nova botnet que consisteix en dispositius d'oficina/oficina a casa (SOHO) i Internet de les coses (IoT) compromesos. Es creu que aquesta botnet està controlada per un grup d'amenaces de l'estat-nació xinès conegut com Flax Typhoon, també conegut com a Ethereal Panda o RedJuliett.
Els investigadors van anomenar la botnet "Raptor Train". Ha estat actiu almenys des de maig de 2020 i va assolir un màxim de 60.000 dispositius compromesos el juny de 2023.
Fins ara, Raptor Train ha segrestat més de 200.000 dispositius, inclosos encaminadors SOHO, sistemes NVR/DVR, servidors d'emmagatzematge connectat a la xarxa (NAS) i càmeres IP, la qual cosa la converteix en una de les botnets IoT patrocinades per l'estat vinculades a la Xina. .
Taula de continguts
Els experts estimen que el tren Raptor ha afectat més de 200.000 dispositius
Es creu que la infraestructura de la botnet ha compromès centenars de milers de dispositius des dels seus inicis. Funciona amb una arquitectura de tres nivells:
Nivell 1: dispositius SOHO i IoT compromesos
Nivell 2: servidors d'explotació, servidors de càrrega útil i servidors d'ordre i control (C2)
Nivell 3: nodes de gestió centralitzats i una interfície d'aplicació Electron multiplataforma coneguda com Sparrow (també anomenada Node Comprehensive Control Tool o NCCT)
En aquesta configuració, les tasques de bot s'inicien des dels nodes de gestió "Sparrow" del nivell 3, s'encaminen a través dels servidors C2 del nivell 2 i, finalment, s'entreguen als bots del nivell 1, que formen la majoria de la xarxa de botnet.
Els dispositius objectiu inclouen encaminadors, càmeres IP, DVR i sistemes NAS de diversos fabricants com ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP. -LINK i Zyxel.
La majoria dels nodes de nivell 1 s'han localitzat als EUA, Taiwan, Vietnam, Brasil, Hong Kong i Turquia. Cada node té una vida útil mitjana de 17,44 dies, cosa que suggereix que l'actor de l'amenaça pot reinfectar fàcilment els dispositius sempre que sigui necessari.
Detalls sobre la cadena d'atac del tren Raptor
En molts casos, els operadors no van implementar un mecanisme de persistència que sobrevisqui a un reinici. La persistència de la botnet, però, està recolzada per l'ampli ventall d'explotacions disponibles per a diversos dispositius SOHO i IoT vulnerables i el gran nombre d'aquests dispositius en línia, donant a Raptor Train una mena de persistència "inherent".
Els nodes estan infectats amb un implant en memòria conegut com Nosedive, una variant personalitzada de la botnet Mirai, mitjançant servidors de càrrega útil de nivell 2 configurats específicament per a aquest propòsit. Aquest binari ELF permet l'execució d'ordres, càrregues i descàrregues de fitxers i atacs DDoS.
Els nodes de nivell 2 es giren aproximadament cada 75 dies i es troben principalment als EUA, Singapur, el Regne Unit, el Japó i Corea del Sud. El nombre de nodes C2 ha crescut d'uns 1 a 5 entre 2020 i 2022 a almenys 60 entre juny i agost de 2024.
Aquests nodes de nivell 2 són versàtils i serveixen no només com a servidors d'explotació i càrrega útil, sinó que també faciliten el reconeixement de les entitats objectiu i incorporen nous dispositius a la botnet.
S'han descobert diverses campanyes d'atac al tren Raptor
Des de mitjan 2020, almenys quatre campanyes diferents s'han associat amb la botnet en evolució Raptor Train, cadascuna caracteritzada per diferents dominis arrel i dispositius orientats:
- Crossbill (de maig de 2020 a abril de 2022): va utilitzar el domini arrel C2 k3121.com i els seus subdominis associats.
- Finch (de juliol de 2022 a juny de 2023): va utilitzar el domini arrel C2 b2047.com i els subdominis C2 relacionats.
- Canary (de maig de 2023 a agost de 2023): també va utilitzar el domini arrel C2 b2047.com i els seus subdominis, però es va basar en comptagotes de diverses etapes.
- Oriole (de juny de 2023 a setembre de 2024) : va utilitzar el domini arrel C2 w8510.com i els seus subdominis associats.
La campanya de Canary destaca especialment pel seu enfocament en mòdems ActionTec PK5000, càmeres IP Hikvision, NVR TVT de Shenzhen i encaminadors ASUS. Es distingeix per una cadena d'infecció de diverses capes que primer descarrega un script bash, que després es connecta a un servidor de càrrega útil de nivell 2 per obtenir Nosedive i un script bash de segona etapa.
Les autoritats prenen mesures contra el tren Raptor i el tifó de lli
El Departament de Justícia dels Estats Units (DoJ) ha anunciat la retirada de la botnet Raptor Train després d'una operació d'aplicació de la llei autoritzada pel tribunal. El DoJ ha vinculat l'actor de l'amenaça Flax Typhoon amb una empresa amb seu a Pequín que cotitza en borsa anomenada Integrity Technology Group.
Aquesta xarxa de programari maliciós va connectar milers de dispositius infectats a una botnet gestionada per Integrity Technology Group. S'utilitzava per dur a terme activitats cibernètiques amenaçadores disfressades de trànsit habitual d'Internet des dels dispositius infectats.
Durant l'operació, les forces de l'ordre es van apoderar de la infraestructura dels atacants i van emetre ordres de desactivació del programari maliciós en dispositius infectats. Els actors de l'amenaça van intentar obstaculitzar aquest esforç llançant un atac DDoS contra els servidors utilitzats per l'Oficina Federal d'Investigacions (FBI) per executar l'ordre judicial, però aquests intents no van tenir èxit.
Segons el DoJ, Integrity Technology Group operava una aplicació en línia que permetia als clients iniciar sessió i controlar els dispositius compromesos. Aquesta aplicació, anomenada "KRLab" i comercialitzada sota la marca pública líder d'Integrity Technology Group, incloïa una eina anomenada "vulnerabilitat-arsenal" per executar ordres cibernètiques nocives.
Al juny de 2024, la botnet havia crescut fins a més de 260.000 dispositius, amb víctimes ubicades a Amèrica del Nord (135.300), Europa (65.600), Àsia (50.400), Àfrica (9.200), Oceania (2.400) i Amèrica del Sud (800).
A més, es van trobar més d'1,2 milions de registres de dispositius compromesos en una base de dades MySQL allotjada en un servidor de gestió de nivell 3. Aquest servidor gestionat a través de l'aplicació Sparrow, s'utilitzava per controlar la botnet i els servidors C2 i incloïa un mòdul d'explotació de xarxes d'ordinadors utilitzant vulnerabilitats tant conegudes com de dia zero.
