Raptor Train Botnet

محققان امنیت سایبری یک بات نت جدید متشکل از دستگاه‌های اداری/دفتر خانگی کوچک (SOHO) و اینترنت اشیا (IoT) را شناسایی کرده‌اند. اعتقاد بر این است که این بات نت توسط یک گروه تهدید کننده دولت-ملت چین به نام Flax Typhoon کنترل می شود که با نام Ethereal Panda یا RedJuliett نیز شناخته می شود.

محققان این بات نت را Raptor Train نامیدند. حداقل از ماه می 2020 فعال بوده است و تا ژوئن 2023 به اوج 60000 دستگاه در معرض خطر رسیده است.

تا به امروز، بیش از 200000 دستگاه، از جمله روترهای SOHO، سیستم‌های NVR/DVR، سرورهای ذخیره‌سازی متصل به شبکه (NAS) و دوربین‌های IP توسط Raptor Train ربوده شده‌اند و آن را به یکی از بزرگ‌ترین بات‌نت‌های IoT تحت حمایت دولتی تبدیل کرده‌اند که به چین متصل است. .

کارشناسان تخمین می زنند قطار رپتور بیش از 200000 دستگاه را تحت تأثیر قرار داده است.

اعتقاد بر این است که زیرساخت بات نت از زمان آغاز به کار صدها هزار دستگاه را در معرض خطر قرار داده است. با استفاده از معماری سه لایه عمل می کند:

ردیف 1: دستگاه های SOHO و IoT در معرض خطر

سطح 2: سرورهای بهره برداری، سرورهای بار و سرورهای فرمان و کنترل (C2)

ردیف 3: گره های مدیریت متمرکز و یک رابط برنامه کاربردی الکترون متقابل پلتفرمی که به نام Sparrow (همچنین به نام Node Comprehensive Control Tool یا NCCT نیز شناخته می شود)

در این راه‌اندازی، وظایف ربات از گره‌های مدیریت Tier 3 'Sparrow' آغاز می‌شوند، از طریق سرورهای Tier 2 C2 هدایت می‌شوند و در نهایت به ربات‌های ردیف 1 تحویل داده می‌شوند که اکثریت شبکه بات‌نت را تشکیل می‌دهند.

دستگاه های مورد نظر شامل روترها، دوربین های IP، DVR و سیستم های NAS از تولید کنندگان مختلف مانند ActionTec، ASUS، DrayTek، Fujitsu، Hikvision، Mikrotik، Mobotix، Panasonic، QNAP، Ruckus Wireless، Shenzhen TVT، Synology، Tenda، TOTOLINK، TP هستند. -LINK و Zyxel.

بیشتر گره های Tier 1 در مکان هایی در ایالات متحده، تایوان، ویتنام، برزیل، هنگ کنگ و ترکیه ردیابی شده اند. طول عمر هر گره به طور متوسط 17.44 روز است که نشان می دهد عامل تهدید می تواند به راحتی دستگاه ها را هر زمان که نیاز باشد دوباره آلوده کند.

جزئیات درباره زنجیره حمله قطار رپتور

در بسیاری از موارد، اپراتورها مکانیزم پایداری را که پس از راه‌اندازی مجدد جان سالم به در می‌برد، اجرا نکردند. با این حال، تداوم بات‌نت توسط طیف وسیعی از سوء استفاده‌های موجود برای دستگاه‌های آسیب‌پذیر SOHO و IoT و تعداد زیادی از چنین دستگاه‌هایی به‌صورت آنلاین پشتیبانی می‌شود که به Raptor Train نوعی ماندگاری «ذاتی» می‌دهد.

گره ها با یک ایمپلنت در حافظه معروف به Nosedive، یک نوع سفارشی از بات نت Mirai، از طریق سرورهای Payload Tier 2 که به طور خاص برای این منظور تنظیم شده اند، آلوده می شوند. این باینری ELF امکان اجرای دستورات، آپلود و دانلود فایل و حملات DDoS را می دهد.

گره های ردیف 2 تقریباً هر 75 روز یکبار چرخانده می شوند و عمدتاً در ایالات متحده، سنگاپور، بریتانیا، ژاپن و کره جنوبی قرار دارند. تعداد گره‌های C2 بین سال‌های 2020 و 2022 از 1 تا 5 به حداقل 60 مورد بین ژوئن و آگوست 2024 رسیده است.

این گره های سطح 2 همه کاره هستند و نه تنها به عنوان سرورهای بهره برداری و بارگذاری کار می کنند، بلکه شناسایی موجودیت های هدف را تسهیل می کنند و دستگاه های جدید را در بات نت ادغام می کنند.

چندین کمپین حمله به قطار رپتور کشف شده است

از اواسط سال 2020، حداقل چهار کمپین مجزا با بات نت در حال تکامل Raptor Train مرتبط بوده است که هر کدام با دامنه های ریشه و دستگاه های هدف متفاوت مشخص می شوند:

• Crossbill (مه 2020 تا آوریل 2022) - از دامنه ریشه C2 k3121.com و زیر دامنه های مرتبط با آن استفاده کرد.
• فینچ (ژوئیه 2022 تا ژوئن 2023) - از دامنه ریشه C2 b2047.com و زیر دامنه های C2 مرتبط استفاده می کند.
• Canary (مه 2023 تا آگوست 2023) - همچنین از دامنه ریشه C2 b2047.com و زیر دامنه های آن استفاده می کرد اما به قطره چکان های چند مرحله ای متکی بود.
• Oriole (ژوئن 2023 تا سپتامبر 2024) - از دامنه اصلی C2 w8510.com و زیر دامنه های مرتبط با آن استفاده کرد.

کمپین Canary به ویژه به دلیل تمرکز بر مودم های ActionTec PK5000، دوربین های IP Hikvision، NVR های Shenzhen TVT و روترهای ASUS قابل توجه است. با یک زنجیره آلودگی چند لایه که ابتدا یک اسکریپت bash را دانلود می‌کند، متمایز می‌شود، که سپس به یک سرور بارگذاری سطح 2 متصل می‌شود تا Nosedive و یک اسکریپت bash مرحله دوم را دریافت کند.

مقامات علیه قطار رپتور و طوفان کتان اقدام کنند

وزارت دادگستری ایالات متحده (DoJ) اعلام کرده است که بات نت Raptor Train پس از یک عملیات اجرای قانون مجاز توسط دادگاه حذف شده است. وزارت دادگستری عامل تهدید طوفان کتان را به یک شرکت سهامی عام در پکن به نام Integrity Technology Group مرتبط کرده است.

این شبکه بدافزار هزاران دستگاه آلوده را به یک بات نت تحت مدیریت گروه فناوری Integrity متصل کرد. برای انجام فعالیت‌های سایبری تهدیدآمیز که به عنوان ترافیک معمولی اینترنت از دستگاه‌های آلوده پنهان شده بودند، استفاده شد.

در طول این عملیات، مجری قانون زیرساخت مهاجمان را تصرف کرد و دستورات غیرفعال کردن بدافزار را در دستگاه‌های آلوده صادر کرد. عوامل تهدید تلاش کردند با راه اندازی یک حمله DDoS علیه سرورهایی که توسط اداره تحقیقات فدرال (FBI) برای اجرای حکم دادگاه استفاده می شد، مانع از این تلاش شوند، اما این تلاش ها ناموفق بود.

به گفته وزارت دادگستری، گروه فناوری Integrity یک برنامه آنلاین راه اندازی کرد که به مشتریان اجازه می داد وارد سیستم شوند و دستگاه های در معرض خطر را کنترل کنند. این اپلیکیشن که "KRLab" نام داشت و تحت برند عمومی پیشروی شرکت فناوری Integrity به بازار عرضه شد، شامل ابزاری به نام "آسیب پذیری-زرادخانه" برای اجرای دستورات سایبری مضر بود.

تا ژوئن 2024، بات نت به بیش از 260000 دستگاه افزایش یافته بود که قربانیان آن در آمریکای شمالی (135300)، اروپا (65600)، آسیا (50400)، آفریقا (9200)، اقیانوسیه (2400) و آمریکای جنوبی (800) قرار داشتند.

علاوه بر این، بیش از 1.2 میلیون رکورد از دستگاه های در معرض خطر در یک پایگاه داده MySQL که روی سرور مدیریت سطح 3 میزبانی شده بود، یافت شد. این سرور از طریق برنامه Sparrow مدیریت می شود، برای کنترل بات نت و سرورهای C2 استفاده می شود و شامل یک ماژول برای بهره برداری از شبکه های کامپیوتری با استفاده از آسیب پذیری های شناخته شده و روز صفر است.