Raptor Train Botnet

साइबर सुरक्षा शोधकर्ताओं ने एक नए बॉटनेट की पहचान की है जिसमें छोटे कार्यालय/घरेलू कार्यालय (SOHO) और इंटरनेट ऑफ थिंग्स (IoT) डिवाइस शामिल हैं। माना जाता है कि इस बॉटनेट को चीनी राष्ट्र-राज्य खतरा समूह द्वारा नियंत्रित किया जाता है जिसे फ्लैक्स टाइफून के नाम से जाना जाता है, जिसे ईथरियल पांडा या रेडजुलिएट भी कहा जाता है।

शोधकर्ताओं ने इस बॉटनेट का नाम 'रैप्टर ट्रेन' रखा है। यह कम से कम मई 2020 से सक्रिय है और जून 2023 तक 60,000 डिवाइस तक पहुंच गया है।

आज तक, SOHO राउटर, NVR/DVR सिस्टम, नेटवर्क-अटैच्ड स्टोरेज (NAS) सर्वर और IP कैमरों सहित 200,000 से अधिक डिवाइसों को रैप्टर ट्रेन द्वारा अपहृत किया जा चुका है, जिससे यह चीन से जुड़े सबसे बड़े राज्य प्रायोजित IoT बॉटनेट में से एक बन गया है।

विशेषज्ञों का अनुमान है कि रैप्टर ट्रेन ने 200,000 से अधिक उपकरणों को प्रभावित किया है

माना जाता है कि बॉटनेट के बुनियादी ढांचे ने इसकी शुरुआत से लेकर अब तक सैकड़ों हज़ारों डिवाइस को प्रभावित किया है। यह तीन-स्तरीय वास्तुकला का उपयोग करके संचालित होता है:

टियर 1: समझौता किए गए SOHO और IoT डिवाइस

टियर 2: एक्सप्लॉइटेशन सर्वर, पेलोड सर्वर और कमांड-एंड-कंट्रोल (C2) सर्वर

टियर 3: केंद्रीकृत प्रबंधन नोड्स और क्रॉस-प्लेटफॉर्म इलेक्ट्रॉन एप्लिकेशन इंटरफ़ेस जिसे स्पैरो के रूप में जाना जाता है (जिसे नोड कॉम्प्रिहेंसिव कंट्रोल टूल या एनसीसीटी भी कहा जाता है)

इस व्यवस्था में, बॉट कार्यों को टियर 3 'स्पैरो' प्रबंधन नोड्स से शुरू किया जाता है, टियर 2 सी2 सर्वरों के माध्यम से रूट किया जाता है, और अंततः टियर 1 में बॉट तक पहुंचाया जाता है, जो बॉटनेट के नेटवर्क का अधिकांश हिस्सा बनाते हैं।

लक्षित उपकरणों में विभिन्न निर्माताओं के राउटर, आईपी कैमरे, डीवीआर और एनएएस सिस्टम शामिल हैं, जैसे कि एक्शनटेक, एएसयूएस, ड्रायटेक, फुजित्सु, हिकविजन, मिकरोटिक, मोबोटिक्स, पैनासोनिक, क्यूएनएपी, रकस वायरलेस, शेन्ज़ेन टीवीटी, सिनोलॉजी, टेंडा, टोटोलिंक, टीपी-लिंक और ज़ाइक्सेल।

टियर 1 के ज़्यादातर नोड्स अमेरिका, ताइवान, वियतनाम, ब्राज़ील, हांगकांग और तुर्की में पाए गए हैं। प्रत्येक नोड का औसत जीवनकाल 17.44 दिन है, जो यह दर्शाता है कि ख़तरा पैदा करने वाला व्यक्ति ज़रूरत पड़ने पर डिवाइस को आसानी से फिर से संक्रमित कर सकता है।

रैप्टर ट्रेन अटैक चेन के बारे में विवरण

कई मामलों में, ऑपरेटरों ने एक दृढ़ता तंत्र को लागू नहीं किया जो रीबूट से बच जाता है। हालाँकि, बॉटनेट की दृढ़ता, विभिन्न कमजोर SOHO और IoT उपकरणों और ऑनलाइन ऐसे उपकरणों की बड़ी संख्या के लिए उपलब्ध शोषण की व्यापक रेंज द्वारा समर्थित है, जो रैप्टर ट्रेन को एक तरह की 'अंतर्निहित' दृढ़ता प्रदान करती है।

नोड्स को इन-मेमोरी इम्प्लांट से संक्रमित किया जाता है जिसे नोजडाइव के नाम से जाना जाता है, जो मिराई बॉटनेट का एक कस्टम वैरिएंट है, टियर 2 पेलोड सर्वर के माध्यम से जो विशेष रूप से इस उद्देश्य के लिए स्थापित किए गए हैं। यह ELF बाइनरी कमांड निष्पादन, फ़ाइल अपलोड और डाउनलोड, और DDoS हमलों की अनुमति देता है।

टियर 2 नोड्स को लगभग हर 75 दिनों में घुमाया जाता है और ये मुख्य रूप से अमेरिका, सिंगापुर, यूके, जापान और दक्षिण कोरिया में स्थित हैं। C2 नोड्स की संख्या 2020 और 2022 के बीच लगभग 1-5 से बढ़कर जून और अगस्त 2024 के बीच कम से कम 60 हो गई है।

ये टियर 2 नोड्स बहुमुखी हैं, जो न केवल शोषण और पेलोड सर्वर के रूप में कार्य करते हैं, बल्कि लक्षित संस्थाओं की टोह लेने और बॉटनेट में नए उपकरणों को शामिल करने में भी सहायता करते हैं।

कई रैप्टर ट्रेन हमले अभियानों का खुलासा हुआ है

2020 के मध्य से, कम से कम चार अलग-अलग अभियान विकसित हो रहे रैप्टर ट्रेन बॉटनेट से जुड़े हैं, जिनमें से प्रत्येक को अलग-अलग रूट डोमेन और लक्षित डिवाइस की विशेषता है:

• क्रॉसबिल (मई 2020 से अप्रैल 2022) - C2 रूट डोमेन k3121.com और उससे संबंधित उपडोमेन का उपयोग किया गया।
• फिंच (जुलाई 2022 से जून 2023) - C2 रूट डोमेन b2047.com और संबंधित C2 उपडोमेन का उपयोग किया।
• कैनरी (मई 2023 से अगस्त 2023) - इसमें भी C2 रूट डोमेन b2047.com और इसके उपडोमेन का उपयोग किया गया, लेकिन मल्टी-स्टेज ड्रॉपर पर निर्भर रहा।
• ओरिओल (जून 2023 से सितंबर 2024) - C2 रूट डोमेन w8510.com और इसके संबद्ध उपडोमेन का उपयोग किया गया।

कैनरी अभियान विशेष रूप से एक्शनटेक पीके5000 मोडेम, हिकविजन आईपी कैमरा, शेन्ज़ेन टीवीटी एनवीआर और एएसयूएस राउटर पर ध्यान केंद्रित करने के लिए उल्लेखनीय है। यह एक बहु-स्तरित संक्रमण श्रृंखला द्वारा प्रतिष्ठित है जो पहले एक बैश स्क्रिप्ट डाउनलोड करता है, जो फिर नोजडाइव और दूसरे चरण की बैश स्क्रिप्ट लाने के लिए टियर 2 पेलोड सर्वर से जुड़ता है।

अधिकारियों ने रैप्टर ट्रेन और फ्लैक्स टाइफून के खिलाफ कार्रवाई की

अमेरिकी न्याय विभाग (डीओजे) ने न्यायालय द्वारा अधिकृत कानून प्रवर्तन कार्रवाई के बाद रैप्टर ट्रेन बॉटनेट को हटाने की घोषणा की है। डीओजे ने फ्लैक्स टाइफून के खतरे वाले अभिनेता को इंटीग्रिटी टेक्नोलॉजी ग्रुप नामक सार्वजनिक रूप से कारोबार करने वाली बीजिंग स्थित कंपनी से जोड़ा है।

इस मैलवेयर नेटवर्क ने हजारों संक्रमित डिवाइस को इंटीग्रिटी टेक्नोलॉजी ग्रुप द्वारा प्रबंधित बॉटनेट से जोड़ा। इसका उपयोग संक्रमित डिवाइस से नियमित इंटरनेट ट्रैफ़िक के रूप में प्रच्छन्न साइबर गतिविधियों को अंजाम देने के लिए किया गया था।

ऑपरेशन के दौरान, कानून प्रवर्तन ने हमलावरों के बुनियादी ढांचे को जब्त कर लिया और संक्रमित उपकरणों पर मैलवेयर को निष्क्रिय करने के आदेश जारी किए। धमकी देने वाले अभिनेताओं ने अदालत के आदेश को निष्पादित करने के लिए संघीय जांच ब्यूरो (FBI) द्वारा उपयोग किए जाने वाले सर्वरों के खिलाफ DDoS हमला करके इस प्रयास को बाधित करने का प्रयास किया, लेकिन ये प्रयास असफल रहे।

न्याय विभाग के अनुसार, इंटीग्रिटी टेक्नोलॉजी ग्रुप ने एक ऑनलाइन एप्लीकेशन संचालित किया जो ग्राहकों को लॉग इन करने और समझौता किए गए उपकरणों को नियंत्रित करने की अनुमति देता था। 'केआरलैब' नामक इस एप्लीकेशन को इंटीग्रिटी टेक्नोलॉजी ग्रुप के प्रमुख सार्वजनिक ब्रांड के तहत विपणन किया गया, जिसमें हानिकारक साइबर कमांड को निष्पादित करने के लिए 'भेद्यता-शस्त्रागार' नामक एक उपकरण शामिल था।

जून 2024 तक, बॉटनेट 260,000 से अधिक डिवाइसों तक बढ़ गया था, जिसके पीड़ित उत्तरी अमेरिका (135,300), यूरोप (65,600), एशिया (50,400), अफ्रीका (9,200), ओशिनिया (2,400) और दक्षिण अमेरिका (800) में स्थित थे।

इसके अतिरिक्त, टियर 3 प्रबंधन सर्वर पर होस्ट किए गए MySQL डेटाबेस में समझौता किए गए उपकरणों के 1.2 मिलियन से अधिक रिकॉर्ड पाए गए। स्पैरो एप्लिकेशन के माध्यम से प्रबंधित इस सर्वर का उपयोग बॉटनेट और C2 सर्वर को नियंत्रित करने के लिए किया गया था और इसमें ज्ञात और शून्य-दिन की कमजोरियों का उपयोग करके कंप्यूटर नेटवर्क का शोषण करने के लिए एक मॉड्यूल शामिल था।