Raptor Train Botnet
Küberturbeteadlased on tuvastanud uue botneti, mis koosneb ohustatud väikekontori/kodukontori (SOHO) ja asjade Interneti (IoT) seadmetest. Arvatakse, et seda botnetti kontrollib Hiina rahvusriigi ohurühmitus, tuntud kui Flax Typhoon, mida nimetatakse ka Ethereal Pandaks või RedJuliettiks.
Teadlased andsid robotvõrgule nimeks Raptor Train. See on olnud aktiivne vähemalt 2020. aasta maist ja saavutas 2023. aasta juuniks 60 000 ohustatud seadme tipu.
Praeguseks on Raptor Train kaaperdanud üle 200 000 seadme, sealhulgas SOHO ruuterid, NVR/DVR-süsteemid, võrguga ühendatud salvestusserverid (NAS) ja IP-kaamerad, mistõttu on see Hiinaga seotud üks suurimaid riiklikult toetatud asjade Interneti robotvõrke. .
Sisukord
Ekspertide hinnangul on Raptor rong mõjutanud üle 200 000 seadme
Arvatakse, et botneti infrastruktuur on selle loomisest saadik ohustanud sadu tuhandeid seadmeid. See töötab kolmetasandilise arhitektuuriga:
1. tase: ohustatud SOHO- ja IoT-seadmed
2. tase: kasutusserverid, kasuliku koormuse serverid ja käsu- ja juhtimisserverid (C2)
3. tase: tsentraliseeritud haldussõlmed ja platvormideülene Electroni rakenduse liides, mida nimetatakse Sparrowiks (nimetatakse ka Node Comprehensive Control Tooliks või NCCT-ks)
Selles seadistuses käivitatakse robotite ülesanded 3. astme 'Sparrow' haldussõlmedest, suunatakse need läbi 2. taseme C2 serverite ja lõpuks toimetatakse need 1. astme robotitele, mis moodustavad suurema osa robotivõrgu võrgust.
Sihtseadmete hulka kuuluvad erinevate tootjate ruuterid, IP-kaamerad, DVR-id ja NAS-süsteemid, nagu ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK ja Zyxel.
Enamik 1. taseme sõlmedest on leitud asukohtadest USA-s, Taiwanis, Vietnamis, Brasiilias, Hongkongis ja Türgis. Iga sõlme keskmine eluiga on 17,44 päeva, mis viitab sellele, et ohus osaleja saab seadmeid vajaduse korral kergesti uuesti nakatada.
Üksikasjad Raptori rongi rünnakuahela kohta
Paljudel juhtudel ei rakendanud operaatorid taaskäivitamise püsimise mehhanismi. Botivõrgu püsivust toetab aga mitmesuguste haavatavate SOHO- ja IoT-seadmete jaoks saadaolev laiaulatuslik kasutusvõimalus ning selliste võrgus olevate seadmete suur arv, mis annab Raptor Trainile omamoodi püsivuse.
Sõlmed on nakatunud mälusisese implantaadiga, mida tuntakse kui Nosedive, mis on Mirai botneti kohandatud variant, spetsiaalselt selleks otstarbeks loodud 2. taseme kasuliku koormuse serverite kaudu. See ELF-i kahendfail võimaldab käskude täitmist, failide üles- ja allalaadimist ning DDoS-i rünnakuid.
2. astme sõlme vahetatakse umbes iga 75 päeva järel ja need asuvad peamiselt USA-s, Singapuris, Ühendkuningriigis, Jaapanis ja Lõuna-Koreas. C2-sõlmede arv on aastatel 2020–2022 kasvanud umbes 1–5-lt 2024. aasta juunist augustini vähemalt 60-ni.
Need 2. taseme sõlmed on mitmekülgsed, toimides mitte ainult kasutus- ja kasuliku koormuse serveritena, vaid hõlbustades ka sihtüksustega tutvumist ja uute seadmete lisamist robotvõrku.
Avaldati mitu Raptori rongirünnaku kampaaniat
Alates 2020. aasta keskpaigast on areneva Raptor Traini robotvõrguga seostatud vähemalt neli erinevat kampaaniat, millest igaühel on erinevad juurdomeenid ja sihitud seadmed.
- Crossbill (mai 2020 kuni aprill 2022) – kasutas C2 juurdomeeni k3121.com ja sellega seotud alamdomeene.
- Finch (juuli 2022 kuni juuni 2023) – kasutas C2 juurdomeeni b2047.com ja sellega seotud C2 alamdomeene.
- Canary (mai 2023 kuni august 2023) – kasutas ka C2 juurdomeeni b2047.com ja selle alamdomeene, kuid toetus mitmeastmelistele dropperidele.
- Oriole (juuni 2023 kuni september 2024) – kasutas C2 juurdomeeni w8510.com ja sellega seotud alamdomeene.
Canary kampaania on eriti tähelepanuväärne selle poolest, et keskendub ActionTec PK5000 modemitele, Hikvisioni IP-kaameratele, Shenzheni TVT NVR-idele ja ASUSe ruuteritele. Seda eristab mitmekihiline nakkusahel, mis laadib esmalt alla bash-skripti, mis seejärel loob ühenduse 2. taseme kasuliku koormuse serveriga, et tuua Nosedive ja teise etapi bash-skript.
Võimud võtavad Raptor rongi ja linataifooni vastu meetmeid
USA justiitsministeerium (DoJ) teatas botneti Raptor Train eemaldamisest pärast kohtu volitatud õiguskaitseoperatsiooni. DoJ on sidunud Flax Typhooni ohutegija Pekingis asuva börsil noteeritud ettevõttega Integrity Technology Group.
See pahavaravõrk ühendas tuhandeid nakatunud seadmeid botnetiga, mida haldab Integrity Technology Group. Seda kasutati nakatunud seadmete tavalise Interneti-liiklusena maskeeritud ähvardavate kübertegevuste läbiviimiseks.
Operatsiooni käigus arestisid korrakaitsjad ründajate infrastruktuuri ja andsid nakatunud seadmetes olevale pahavarale keelamiskäsud. Ohutegijad püüdsid seda pingutust takistada, käivitades DDoS-rünnaku serverite vastu, mida Föderaalne Juurdlusbüroo (FBI) kasutas kohtumääruse täitmiseks, kuid need katsed ebaõnnestusid.
DoJ andmetel haldas Integrity Technology Group veebirakendust, mis võimaldas klientidel sisse logida ja ohustatud seadmeid juhtida. See rakendus, mille nimi on KRLab ja mida turustati Integrity Technology Groupi juhtiva avaliku kaubamärgi all, sisaldas tööriista, mida nimetatakse haavatavuse arsenaliks, kahjulike küberkäskude täitmiseks.
2024. aasta juuniks oli robotvõrk kasvanud üle 260 000 seadme ning ohvrid asusid Põhja-Ameerikas (135 300), Euroopas (65 600), Aasias (50 400), Aafrikas (9200), Okeaanias (2400) ja Lõuna-Ameerikas (800).
Lisaks leiti 3. taseme haldusserveris asuvast MySQL-i andmebaasist üle 1,2 miljoni ohustatud seadmete kirje. Seda serverit hallati Sparrow rakenduse kaudu, seda kasutati botneti ja C2 serverite juhtimiseks ning see sisaldas moodulit arvutivõrkude ärakasutamiseks, kasutades nii teadaolevaid kui ka nullpäeva turvaauke.
