Botnet del Raptor Train
I ricercatori di sicurezza informatica hanno identificato una nuova botnet composta da dispositivi SOHO (Small Office/Home Office) e Internet of Things (IoT) compromessi. Si ritiene che questa botnet sia controllata da un gruppo di minacce di stato-nazione cinese noto come Flax Typhoon, noto anche come Ethereal Panda o RedJuliett.
I ricercatori hanno chiamato la botnet "Raptor Train". È attiva almeno da maggio 2020 e ha raggiunto un picco di 60.000 dispositivi compromessi entro giugno 2023.
Ad oggi, oltre 200.000 dispositivi, tra cui router SOHO, sistemi NVR/DVR, server di archiviazione collegati in rete (NAS) e telecamere IP, sono stati dirottati da Raptor Train, diventando così una delle più grandi botnet IoT sponsorizzate dallo Stato collegate alla Cina.
Sommario
Gli esperti stimano che il Raptor Train abbia interessato oltre 200.000 dispositivi
Si ritiene che l'infrastruttura della botnet abbia compromesso centinaia di migliaia di dispositivi sin dal suo inizio. Opera utilizzando un'architettura a tre livelli:
Livello 1: dispositivi SOHO e IoT compromessi
Livello 2: server di sfruttamento, server di payload e server di comando e controllo (C2)
Livello 3: nodi di gestione centralizzati e un'interfaccia applicativa Electron multipiattaforma nota come Sparrow (chiamata anche Node Comprehensive Control Tool o NCCT)
In questa configurazione, le attività dei bot vengono avviate dai nodi di gestione "Sparrow" di Livello 3, instradate tramite i server C2 di Livello 2 e infine consegnate ai bot di Livello 1, che costituiscono la maggior parte della rete della botnet.
Tra i dispositivi presi di mira figurano router, telecamere IP, DVR e sistemi NAS di vari produttori, tra cui ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK e Zyxel.
La maggior parte dei nodi Tier 1 sono stati rintracciati in località negli Stati Uniti, Taiwan, Vietnam, Brasile, Hong Kong e Turchia. Ogni nodo ha una durata media di 17,44 giorni, il che suggerisce che l'attore della minaccia può facilmente reinfettare i dispositivi ogni volta che è necessario.
Dettagli sulla catena di attacco del Raptor Train
In molti casi, gli operatori non hanno implementato un meccanismo di persistenza che sopravviva a un riavvio. La persistenza della botnet, tuttavia, è supportata dall'ampia gamma di exploit disponibili per vari dispositivi SOHO e IoT vulnerabili e dal gran numero di tali dispositivi online, che conferisce a Raptor Train una sorta di persistenza "intrinseca".
I nodi sono infettati da un impianto in memoria noto come Nosedive, una variante personalizzata della botnet Mirai, tramite server payload Tier 2 specificatamente impostati per questo scopo. Questo binario ELF consente l'esecuzione di comandi, caricamenti e download di file e attacchi DDoS.
I nodi di livello 2 ruotano circa ogni 75 giorni e sono principalmente ubicati negli Stati Uniti, a Singapore, nel Regno Unito, in Giappone e in Corea del Sud. Il numero di nodi C2 è cresciuto da circa 1-5 tra il 2020 e il 2022 ad almeno 60 tra giugno e agosto 2024.
Questi nodi di livello 2 sono versatili e fungono non solo da server di sfruttamento e di payload, ma facilitano anche la ricognizione delle entità prese di mira e l'incorporazione di nuovi dispositivi nella botnet.
Scoperte molteplici campagne di attacchi di treni Raptor
Da metà del 2020, almeno quattro campagne distinte sono state associate alla botnet Raptor Train in evoluzione, ciascuna caratterizzata da diversi domini radice e dispositivi presi di mira:
- Crossbill (da maggio 2020 ad aprile 2022) - Ha utilizzato il dominio radice C2 k3121.com e i sottodomini associati.
- Finch (da luglio 2022 a giugno 2023) - Ha utilizzato il dominio radice C2 b2047.com e i sottodomini C2 correlati.
- Canary (da maggio 2023 ad agosto 2023): ha utilizzato anche il dominio radice C2 b2047.com e i suoi sottodomini, ma si è affidato a dropper multi-stage.
- Oriole (giugno 2023 - settembre 2024) - Ha utilizzato il dominio radice C2 w8510.com e i sottodomini associati.
La campagna Canary è particolarmente degna di nota per la sua attenzione sui modem ActionTec PK5000, sulle telecamere IP Hikvision, sugli NVR TVT Shenzhen e sui router ASUS. Si distingue per una catena di infezione multistrato che prima scarica uno script bash, che poi si collega a un server payload di livello 2 per recuperare Nosedive e uno script bash di seconda fase.
Le autorità intervengono contro il Raptor Train e il Flax Typhoon
Il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha annunciato la rimozione della botnet Raptor Train in seguito a un'operazione delle forze dell'ordine autorizzata dal tribunale. Il DoJ ha collegato l'attore della minaccia Flax Typhoon a una società quotata in borsa con sede a Pechino chiamata Integrity Technology Group.
Questa rete di malware ha collegato migliaia di dispositivi infetti a una botnet gestita da Integrity Technology Group. È stata utilizzata per svolgere attività informatiche minacciose camuffate da normale traffico Internet dai dispositivi infetti.
Durante l'operazione, le forze dell'ordine hanno sequestrato l'infrastruttura degli aggressori e hanno inviato comandi di disattivazione al malware sui dispositivi infetti. Gli autori della minaccia hanno tentato di ostacolare questo sforzo lanciando un attacco DDoS contro i server utilizzati dal Federal Bureau of Investigation (FBI) per eseguire l'ordine del tribunale, ma questi tentativi non hanno avuto successo.
Secondo il DoJ, Integrity Technology Group gestiva un'applicazione online che consentiva ai clienti di effettuare l'accesso e controllare i dispositivi compromessi. Questa applicazione, denominata "KRLab" e commercializzata con il marchio pubblico leader di Integrity Technology Group, includeva uno strumento denominato "vulnerability-arsenal" per l'esecuzione di comandi informatici dannosi.
Entro giugno 2024, la botnet era cresciuta fino a oltre 260.000 dispositivi, con vittime situate in Nord America (135.300), Europa (65.600), Asia (50.400), Africa (9.200), Oceania (2.400) e Sud America (800).
Inoltre, sono stati trovati oltre 1,2 milioni di record di dispositivi compromessi in un database MySQL ospitato su un server di gestione Tier 3. Questo server gestito tramite l'applicazione Sparrow, è stato utilizzato per controllare i server botnet e C2 e includeva un modulo per sfruttare le reti di computer utilizzando vulnerabilità note e zero-day.
