Botnet Raptor Train
Istraživači kibernetičke sigurnosti identificirali su novi botnet koji se sastoji od kompromitiranih malih ureda/kućnih ureda (SOHO) i uređaja Interneta stvari (IoT). Vjeruje se da ovaj botnet kontrolira kineska nacionalna državna prijetnja skupina poznata kao Flax Typhoon, također poznata kao Ethereal Panda ili RedJuliett.
Istraživači su botnet nazvali 'Raptor Train'. Aktivan je najmanje od svibnja 2020. i dosegao je vrhunac od 60.000 kompromitiranih uređaja do lipnja 2023.
Do danas je više od 200.000 uređaja, uključujući SOHO usmjerivače, NVR/DVR sustave, poslužitelje za mrežnu pohranu (NAS) i IP kamere, oteo Raptor Train, što ga čini jednim od najvećih državno sponzoriranih IoT botneta povezanih s Kinom .
Sadržaj
Stručnjaci procjenjuju da je vlak Raptor utjecao na više od 200.000 uređaja
Vjeruje se da je infrastruktura botneta ugrozila stotine tisuća uređaja od svog početka. Djeluje pomoću troslojne arhitekture:
Razina 1: Ugroženi SOHO i IoT uređaji
Razina 2: poslužitelji za iskorištavanje, poslužitelji s korisnim sadržajem i poslužitelji za upravljanje i kontrolu (C2)
Razina 3: Centralizirani upravljački čvorovi i višeplatformsko Electron aplikacijsko sučelje poznato kao Sparrow (također nazvan Node Comprehensive Control Tool ili NCCT)
U ovoj postavci, zadaci botova se pokreću iz Tier 3 'Sparrow' upravljačkih čvorova, usmjeravaju se kroz Tier 2 C2 poslužitelje, i na kraju se isporučuju botovima u Tier 1, koji čine većinu botnet mreže.
Ciljani uređaji uključuju usmjerivače, IP kamere, DVR-ove i NAS sustave raznih proizvođača kao što su ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK i Zyxel.
Većina Tier 1 čvorova je praćena na lokacijama u SAD-u, Tajvanu, Vijetnamu, Brazilu, Hong Kongu i Turskoj. Svaki čvor ima prosječni životni vijek od 17,44 dana, što sugerira da akter prijetnje može lako ponovno zaraziti uređaje kad god je potrebno.
Pojedinosti o lancu napada Raptor Train
U mnogim slučajevima operateri nisu implementirali mehanizam postojanosti koji preživljava ponovno pokretanje. Postojanost botneta, međutim, podupire širok raspon eksploatacija dostupnih za razne ranjive SOHO i IoT uređaje i veliki broj takvih uređaja na mreži, dajući Raptor Trainu neku vrstu 'inherentne' postojanosti.
Čvorovi su zaraženi implantatom u memoriji poznatim kao Nosedive, prilagođenom varijantom Mirai botnet-a, preko Tier 2 payload poslužitelja posebno postavljenih za ovu svrhu. Ova ELF binarna datoteka omogućuje izvršavanje naredbi, učitavanje i preuzimanje datoteka te DDoS napade.
Čvorovi razine 2 mijenjaju se otprilike svakih 75 dana i uglavnom se nalaze u SAD-u, Singapuru, UK-u, Japanu i Južnoj Koreji. Broj čvorova C2 narastao je s otprilike 1-5 između 2020. i 2022. na najmanje 60 između lipnja i kolovoza 2024.
Ovi Tier 2 čvorovi su svestrani, služe ne samo kao poslužitelji za eksploataciju i opterećenje, već također olakšavaju izviđanje ciljanih subjekata i uključivanje novih uređaja u botnet.
Otkriveno je više kampanja napada vlakom Raptor
Od sredine 2020. najmanje su četiri različite kampanje povezane s botnetom Raptor Train koji se razvija, a svaku karakteriziraju različite korijenske domene i ciljani uređaji:
- Crossbill (svibanj 2020. do travanj 2022.) - koristio C2 korijensku domenu k3121.com i njoj pridružene poddomene.
- Finch (srpanj 2022. do lipanj 2023.) - Zaposlio C2 korijensku domenu b2047.com i povezane C2 poddomene.
- Canary (od svibnja 2023. do kolovoza 2023.) - Također je koristio C2 korijensku domenu b2047.com i njezine poddomene, ali se oslanjao na višestupanjske droppere.
- Oriole (lipanj 2023. do rujan 2024.) - koristi C2 korijensku domenu w8510.com i njoj pridružene poddomene.
Canary kampanja je posebno vrijedna pažnje zbog fokusa na ActionTec PK5000 modeme, Hikvision IP kamere, Shenzhen TVT NVR i ASUS usmjerivače. Razlikuje se po višeslojnom lancu zaraze koji prvo preuzima bash skriptu, koja se zatim povezuje s Tier 2 poslužiteljem korisnih podataka kako bi dohvatio Nosedive i drugu fazu bash skripte.
Vlasti poduzimaju mjere protiv vlaka raptora i tajfuna Flax
Američko ministarstvo pravosuđa (DoJ) najavilo je uklanjanje botneta Raptor Train nakon operacije koju je odobrio sud. DoJ je povezao aktera prijetnje Flax Typhoon s javnom tvrtkom sa sjedištem u Pekingu pod nazivom Integrity Technology Group.
Ova mreža zlonamjernog softvera povezivala je tisuće zaraženih uređaja na botnet kojim upravlja Integrity Technology Group. Korišten je za izvođenje prijetećih cyber aktivnosti prerušenih u redoviti internetski promet sa zaraženih uređaja.
Tijekom operacije, policija je zaplijenila infrastrukturu napadača i izdala naredbe za onemogućavanje zlonamjernog softvera na zaraženim uređajima. Akteri prijetnje pokušali su spriječiti ovaj pokušaj pokretanjem DDoS napada na poslužitelje koje koristi Federalni istražni ured (FBI) za izvršenje sudskog naloga, ali ti su pokušaji bili neuspješni.
Prema DoJ-u, Integrity Technology Group upravljala je internetskom aplikacijom koja je korisnicima omogućavala prijavu i kontrolu kompromitiranih uređaja. Ova aplikacija, nazvana 'KRLab' i reklamirana pod vodećim javnim brendom Integrity Technology Group, uključivala je alat pod nazivom 'arsenal ranjivosti' za izvršavanje štetnih cyber naredbi.
Do lipnja 2024. botnet je narastao na preko 260.000 uređaja, a žrtve su se nalazile u Sjevernoj Americi (135.300), Europi (65.600), Aziji (50.400), Africi (9.200), Oceaniji (2.400) i Južnoj Americi (800).
Dodatno, više od 1,2 milijuna zapisa o kompromitiranim uređajima pronađeno je u MySQL bazi podataka smještenoj na poslužitelju za upravljanje Tier 3. Ovaj poslužitelj kojim se upravlja putem aplikacije Sparrow, koristio se za kontrolu botneta i C2 poslužitelja i uključivao je modul za iskorištavanje računalnih mreža korištenjem poznatih i zero-day ranjivosti.
