הצעת הנחה מרובה רישיונות
מסד נתונים של איומים Botnets Raptor Train Botnet

Raptor Train Botnet

עד Mezo ב-Botnets
לתרגם ל:
עברית

חוקרי אבטחת סייבר זיהו רשת בוט חדשה המורכבת ממכשירי משרד קטן/משרד ביתי (SOHO) ומכשירי אינטרנט של הדברים (IoT) שנפגעו. מאמינים כי הבוטנט הזה נשלט על ידי קבוצת איומים של מדינת לאום סינית הידועה בשם Flax Typhoon, המכונה גם פנדה אתרית או רד ג'וליט.

החוקרים כינו את הבוטנט בשם 'רכבת ראפטור'. הוא פעיל לפחות מאז מאי 2020 והגיע לשיא של 60,000 מכשירים שנפרצו עד יוני 2023.

עד כה, למעלה מ-200,000 מכשירים, כולל נתבי SOHO, מערכות NVR/DVR, שרתי אחסון מחוברים לרשת (NAS) ומצלמות IP, נחטפו על ידי Raptor Train, מה שהופך אותה לאחת מרשתות ה-IoT הגדולות בחסות המדינה המקושרות לסין. .

מומחים מעריכים שרכבת הדורסים השפיעה על יותר מ-200,000 מכשירים

על פי ההערכות, התשתית של הבוטנט פגעה במאות אלפי מכשירים מאז הקמתה. הוא פועל באמצעות ארכיטקטורה תלת-שכבתית:

שכבה 1: מכשירי SOHO ו-IoT שנפגעו

שכבה 2: שרתי ניצול, שרתי עומס ושרתי פיקוד ושליטה (C2)

שכבה 3: צמתי ניהול מרכזי וממשק אפליקציות Electron חוצה פלטפורמות המכונה Sparrow (נקרא גם Node Comprehensive Control Tool, או NCCT)

בהגדרה זו, משימות הבוט יזומות מצמתי הניהול של Tier 3 'Sparrow', מנותבות דרך שרתי Tier 2 C2, ובסופו של דבר מועברות לבוטים בשכבה 1, המהווים את רוב הרשת של ה-botnet.

המכשירים הממוקדים כוללים נתבים, מצלמות IP, DVRs ומערכות NAS מיצרנים שונים כגון ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK ו-Zyxel.

רוב הצמתים של Tier 1 אותרו למיקומים בארה"ב, טייוואן, וייטנאם, ברזיל, הונג קונג וטורקיה. לכל צומת יש תוחלת חיים ממוצעת של 17.44 ימים, מה שמצביע על כך ששחקן האיום יכול בקלות להדביק מחדש את המכשירים בכל עת שצריך.

פרטים על שרשרת התקפת רכבת דורסים

במקרים רבים, המפעילים לא יישמו מנגנון התמדה ששורד אתחול מחדש. עם זאת, ההתמדה של רשת הבוטנט נתמכת על ידי מגוון רחב של ניצול זמין עבור מכשירי SOHO ו-IoT פגיעים שונים והמספר הגדול של מכשירים כאלה באינטרנט, מה שנותן ל-Raptor Train מעין התמדה 'מובנית'.

הצמתים נגועים בשתל בזיכרון הידוע בשם Nosedive, גרסה מותאמת אישית של הבוטנט Mirai, דרך שרתי מטען Tier 2 שהוגדרו במיוחד למטרה זו. ELF בינארי זה מאפשר ביצוע פקודות, העלאות והורדות של קבצים והתקפות DDoS.

צמתים ברמה 2 מסובבים בערך כל 75 ימים וממוקמים בעיקר בארה"ב, סינגפור, בריטניה, יפן ודרום קוריאה. מספר צמתים C2 גדל מ-1-5 בערך בין 2020 ל-2022 ל-60 לפחות בין יוני לאוגוסט 2024.

צמתים שכבה 2 אלה הם רב-תכליתיים, ומשמשים לא רק כשרתי ניצול ועומס, אלא גם מקלים על סיור של ישויות ממוקדות ומשלבים מכשירים חדשים ברשת הבוט.

נחשפו מסעות פרסום מרובים לתקיפה של רכבות דורסים

מאז אמצע 2020, לפחות ארבעה קמפיינים נפרדים נקשרו ל-botnet המתפתח של Raptor Train, כל אחד מאופיין בדומיינים שונים של בסיס ומכשירים ממוקדים:

  • Crossbill (מאי 2020 עד אפריל 2022) - השתמש בדומיין השורש C2 k3121.com ובתת-הדומיינים המשויכים אליו.
  • Finch (יולי 2022 עד יוני 2023) - העסיקה את דומיין השורש C2 b2047.com ותת-דומיינים קשורים של C2.
  • Canary (מאי 2023 עד אוגוסט 2023) - השתמשו גם בדומיין השורש C2 b2047.com ותתי הדומיינים שלו אך הסתמכו על טפטפות רב-שלביות.
  • Oriole (יוני 2023 עד ספטמבר 2024) - השתמש בדומיין השורש C2 w8510.com ותת-הדומיינים הקשורים אליו.

מסע הפרסום הקנרי ראוי לציון במיוחד עבור ההתמקדות שלו במודמים ActionTec PK5000, מצלמות Hikvision IP, שנזן TVT NVRs ונתבי ASUS. הוא נבדל על ידי שרשרת זיהום רב-שכבתית אשר מורידה תחילה סקריפט bash, אשר לאחר מכן מתחבר לשרת מטען שכבה 2 כדי להביא את Nosedive וסקריפט bash שלב שני.

הרשויות נוקטות פעולה נגד רכבת הדורסים וטייפון הפשתן

משרד המשפטים האמריקני (DoJ) הודיע על הסרת רשת הבוטנט Raptor Train בעקבות פעולת אכיפת החוק שאושרה על ידי בית המשפט. משרד המשפטים קישר את שחקן איום פשתן טייפון לחברה ציבורית בבייג'ינג בשם Integrity Technology Group.

רשת תוכנות זדוניות זו חיברה אלפי מכשירים נגועים לרשת בוט המנוהלת על ידי קבוצת הטכנולוגיה של אינטגריטי. הוא שימש לביצוע פעילויות סייבר מאיימות במסווה של תעבורת אינטרנט רגילה מהמכשירים הנגועים.

במהלך המבצע, כוחות אכיפת החוק תפסו את תשתית התוקפים והוציאו פקודות השבתה לתוכנה הזדונית במכשירים נגועים. שחקני האיום ניסו לעכב את המאמץ הזה על ידי שיגור התקפת DDoS נגד השרתים ששימשו את משרד החקירות הפדרלי (FBI) לביצוע צו בית המשפט, אך ניסיונות אלה לא צלחו.

לפי ה-DoJ, Integrity Technology Group הפעילה אפליקציה מקוונת שאפשרה ללקוחות להיכנס ולשלוט במכשירים שנפגעו. אפליקציה זו, ששמה 'KRLab' ומשווקת תחת המותג הציבורי המוביל של Integrity Technology Group, כללה כלי שנקרא 'פגיעות-ארסנל' לביצוע פקודות סייבר מזיקות.

עד יוני 2024, הבוטנט גדל ליותר מ-260,000 מכשירים, כאשר הקורבנות ממוקמים בצפון אמריקה (135,300), אירופה (65,600), אסיה (50,400), אפריקה (9,200), אוקיאניה (2,400) ודרום אמריקה (800).

בנוסף, למעלה מ-1.2 מיליון רשומות של מכשירים שנפגעו נמצאו במסד נתונים של MySQL המתארח בשרת ניהול Tier 3. שרת זה המנוהל באמצעות אפליקציית Sparrow, שימש לשליטה על שרתי הבוטנט וה-C2 וכלל מודול לניצול רשתות מחשבים תוך שימוש בפגיעויות ידועות ובחולשות של יום אפס.

מגמות

הכי נצפה

הונאת דוא"ל 'Gek Squad'

פישינג, ספאם
37,699
Geek Squad, ספקית תמיכה טכנית פופולרית, הפכה לקורבן של הונאת דיוג בשם Geek Squad Email Scam. הונאת התמיכה הטכנית הזו משתמשת בהודעות דוא"ל מזויפות שמרמות אנשים למסור את המידע האישי שלהם, כגון פרטי כרטיסי אשראי, כתובות דוא"ל ואפילו מספרי תעודת זהות. במאמר זה, נדון בהונאה עצמה, כיצד היא נראית, מאיפה מגיעים האימיילים המזויפים, מה הרמאים רוצים וכיצד להגן על עצמך מפני נפילת קורבן להונאה זו. מהי הונאת...
טוען...