Botnet Raptor Train
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali nový botnet sestávající z kompromitovaných zařízení pro malé kanceláře/domácí kanceláře (SOHO) a internetu věcí (IoT). Předpokládá se, že tento botnet je ovládán čínskou skupinou ohrožující národní stát známou jako Flax Typhoon, označovanou také jako Ethereal Panda nebo RedJuliett.
Vědci botnet pojmenovali „Raptor Train“. Je aktivní minimálně od května 2020 a do června 2023 dosáhl vrcholu 60 000 napadených zařízení.
K dnešnímu dni bylo Raptor Train uneseno přes 200 000 zařízení, včetně SOHO routerů, NVR/DVR systémů, serverů NAS (Network-Attached Storage) a IP kamer, což z něj dělá jeden z největších státem sponzorovaných IoT botnetů spojených s Čínou. .
Obsah
Odborníci odhadují, že vlak Raptor ovlivnil více než 200 000 zařízení
Má se za to, že infrastruktura botnetu od svého vzniku kompromitovala stovky tisíc zařízení. Funguje pomocí třívrstvé architektury:
Úroveň 1: Kompromitovaná zařízení SOHO a IoT
Úroveň 2: Exploitační servery, servery užitečného zatížení a servery Command-and-Control (C2)
Úroveň 3: Centralizované uzly správy a rozhraní aplikace Electron pro více platforem známé jako Sparrow (také nazývané Node Comprehensive Control Tool nebo NCCT)
V tomto nastavení jsou úlohy botů spouštěny z uzlů správy 'Sparrow' Tier 3, směrovány přes servery Tier 2 C2 a nakonec doručeny botům na Tier 1, kteří tvoří většinu sítě botnetu.
Cílová zařízení zahrnují routery, IP kamery, DVR a NAS systémy od různých výrobců, jako jsou ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK a Zyxel.
Většina uzlů Tier 1 byla vysledována do míst v USA, Tchaj-wanu, Vietnamu, Brazílii, Hong Kongu a Turecku. Každý uzel má průměrnou životnost 17,44 dne, což naznačuje, že aktér hrozby může zařízení snadno znovu infikovat, kdykoli to bude potřeba.
Podrobnosti o řetězu útoku na vlak Raptor
V mnoha případech operátoři neimplementovali mechanismus persistence, který přežije restart. Přetrvávání botnetu je však podporováno širokou škálou exploitů dostupných pro různá zranitelná zařízení SOHO a IoT a velký počet takových zařízení online, což dává Raptor Train jakousi „přirozenou“ vytrvalost.
Uzly jsou infikovány implantátem v paměti známým jako Nosedive, vlastní variantou botnetu Mirai, prostřednictvím serverů úrovně 2 speciálně nastavených pro tento účel. Tento binární soubor ELF umožňuje provádění příkazů, nahrávání a stahování souborů a útoky DDoS.
Uzly úrovně 2 se střídají přibližně každých 75 dní a nacházejí se hlavně v USA, Singapuru, Velké Británii, Japonsku a Jižní Koreji. Počet uzlů C2 vzrostl z přibližně 1-5 mezi lety 2020 a 2022 na nejméně 60 mezi červnem a srpnem 2024.
Tyto uzly Tier 2 jsou všestranné a slouží nejen jako servery pro využití a užitečné zatížení, ale také usnadňují průzkum cílových subjektů a začleňují nová zařízení do botnetu.
Bylo odhaleno několik útoků na vlak Raptor
Od poloviny roku 2020 byly s vyvíjejícím se botnetem Raptor Train spojeny nejméně čtyři různé kampaně, z nichž každá se vyznačuje různými kořenovými doménami a cílenými zařízeními:
- Crossbill (květen 2020 až duben 2022) – Využila kořenovou doménu C2 k3121.com a její přidružené subdomény.
- Finch (červenec 2022 až červen 2023) – používal kořenovou doménu C2 b2047.com a související subdomény C2.
- Canary (květen 2023 až srpen 2023) – Používala také kořenovou doménu C2 b2047.com a její subdomény, ale spoléhala na vícestupňové droppery.
- Oriole (červen 2023 až září 2024) – Využila kořenovou doménu C2 w8510.com a její přidružené subdomény.
Kampaň Canary je zvláště pozoruhodná svým zaměřením na modemy ActionTec PK5000, IP kamery Hikvision, NVR Shenzhen TVT a routery ASUS. Vyznačuje se vícevrstevným infekčním řetězcem, který nejprve stáhne bash skript, který se poté připojí k serveru užitečného zatížení úrovně 2 a načte Nosedive a bash skript druhé fáze.
Úřady zasahují proti vlaku Raptor a tajfunu Flax
Americké ministerstvo spravedlnosti (DoJ) oznámilo odstranění botnetu Raptor Train po soudem povolené operaci vymáhání práva. Ministerstvo spravedlnosti spojilo aktéra hrozby Flax Typhoon s veřejně obchodovanou společností se sídlem v Pekingu s názvem Integrity Technology Group.
Tato malwarová síť připojila tisíce infikovaných zařízení k botnetu spravovanému společností Integrity Technology Group. Sloužil k provádění hrozivých kybernetických aktivit maskovaných jako běžný internetový provoz z infikovaných zařízení.
Během operace se orgány činné v trestním řízení zmocnily infrastruktury útočníků a vydaly příkazy k deaktivaci malwaru na infikovaných zařízeních. Aktéři hrozeb se pokusili zabránit tomuto úsilí spuštěním DDoS útoku na servery používané Federálním úřadem pro vyšetřování (FBI) k provedení soudního příkazu, ale tyto pokusy byly neúspěšné.
Podle DoJ společnost Integrity Technology Group provozovala online aplikaci, která zákazníkům umožňovala přihlásit se a ovládat ohrožená zařízení. Tato aplikace s názvem „KRLab“ a uváděná na trh pod přední veřejnou značkou Integrity Technology Group obsahovala nástroj zvaný „arzenál zranitelností“ pro provádění škodlivých kybernetických příkazů.
Do června 2024 se botnet rozrostl na více než 260 000 zařízení, přičemž oběti se nacházejí v Severní Americe (135 300), Evropě (65 600), Asii (50 400), Africe (9 200), Oceánii (2 400) a Jižní Americe (800).
Kromě toho bylo v databázi MySQL hostované na serveru pro správu úrovně 3 nalezeno více než 1,2 milionu záznamů kompromitovaných zařízení. Tento server spravovaný přes aplikaci Sparrow sloužil k ovládání botnetu a C2 serverů a obsahoval modul pro zneužívání počítačových sítí pomocí známých i zero-day zranitelností.
