Raptor Train Botnet
ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខតាមអ៊ីនធឺណិតបានកំណត់អត្តសញ្ញាណ botnet ថ្មីដែលមានឧបករណ៍ការិយាល័យ/ផ្ទះតូច (SOHO) និងឧបករណ៍ Internet of Things (IoT) ។ botnet នេះត្រូវបានគេជឿថាត្រូវបានគ្រប់គ្រងដោយក្រុមគំរាមកំហែងរបស់រដ្ឋចិនដែលគេស្គាល់ថាជា Flax Typhoon ដែលគេហៅថា Ethereal Panda ឬ RedJuliett។
អ្នកស្រាវជ្រាវបានដាក់ឈ្មោះ botnet ថា 'Raptor Train' ។ វាបានដំណើរការតាំងពីយ៉ាងហោចណាស់ខែឧសភា ឆ្នាំ 2020 ហើយឈានដល់កម្រិតខ្ពស់បំផុតនៃ 60,000 ឧបករណ៍ដែលត្រូវបានសម្របសម្រួលត្រឹមខែមិថុនា ឆ្នាំ 2023។
រហូតមកដល់ពេលនេះ ឧបករណ៍ជាង 200,000 រួមទាំងរ៉ោតទ័រ SOHO ប្រព័ន្ធ NVR/DVR ម៉ាស៊ីនមេផ្ទុកទិន្នន័យភ្ជាប់បណ្តាញ (NAS) និងម៉ាស៊ីនថត IP ត្រូវបានប្លន់ដោយ Raptor Train ដែលធ្វើឱ្យវាក្លាយជាបណ្តាញ IoT ដែលឧបត្ថម្ភដោយរដ្ឋដ៏ធំបំផុតមួយដែលភ្ជាប់ទៅនឹងប្រទេសចិន។ .
តារាងមាតិកា
អ្នកជំនាញប៉ាន់ស្មានថា រថភ្លើង Raptor នឹងមានផលប៉ះពាល់ដល់ឧបករណ៍ជាង 200,000
ហេដ្ឋារចនាសម្ព័ន្ធរបស់ botnet ត្រូវបានគេជឿថាបានសម្រុះសម្រួលឧបករណ៍រាប់រយរាប់ពាន់ចាប់តាំងពីការចាប់ផ្តើមរបស់វា។ វាដំណើរការដោយប្រើស្ថាបត្យកម្មបីជាន់៖
កម្រិតទី 1៖ ឧបករណ៍ SOHO និង IoT ដែលត្រូវបានសម្របសម្រួល
កម្រិតទី 2៖ ម៉ាស៊ីនមេកេងប្រវ័ញ្ច ម៉ាស៊ីនមេផ្ទុកបន្ទុក និងម៉ាស៊ីនមេ Command-and-Control (C2)
កម្រិតទី 3៖ ថ្នាំងគ្រប់គ្រងកណ្តាល និងចំណុចប្រទាក់កម្មវិធីអេឡិចត្រុងឆ្លងវេទិកាដែលគេស្គាល់ថាជា Sparrow (ហៅផងដែរថា Node Comprehensive Control Tool ឬ NCCT)
នៅក្នុងការរៀបចំនេះ កិច្ចការ bots ត្រូវបានផ្តួចផ្តើមចេញពីថ្នាំងគ្រប់គ្រងថ្នាក់ 3 'Sparrow' ដែលបញ្ជូនតាមរយៈម៉ាស៊ីនមេលំដាប់ទី 2 C2 ហើយទីបំផុតត្រូវបានបញ្ជូនទៅ bots ក្នុងកម្រិតទី 1 ដែលបង្កើតបានជាបណ្តាញ botnet ភាគច្រើន។
ឧបករណ៍គោលដៅរួមមាន រ៉ោតទ័រ កាមេរ៉ា IP ប្រព័ន្ធ DVR និង NAS ពីក្រុមហ៊ុនផលិតផ្សេងៗដូចជា ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK និង Zyxel ។
ថ្នាំងលំដាប់ទី 1 ភាគច្រើនត្រូវបានតាមដានទីតាំងនៅសហរដ្ឋអាមេរិក តៃវ៉ាន់ វៀតណាម ប្រេស៊ីល ហុងកុង និងតួកគី។ ថ្នាំងនីមួយៗមានអាយុកាលជាមធ្យម 17.44 ថ្ងៃ ដែលបង្ហាញថាអ្នកគំរាមកំហែងអាចចម្លងឧបករណ៍ឡើងវិញបានយ៉ាងងាយស្រួលនៅពេលណាដែលចាំបាច់។
ព័ត៌មានលម្អិតអំពីខ្សែសង្វាក់វាយប្រហាររថភ្លើង Raptor
ក្នុងករណីជាច្រើន ប្រតិបត្តិករមិនបានអនុវត្តយន្តការជាប់លាប់ដែលរួចផុតពីការចាប់ផ្ដើមឡើងវិញទេ។ ទោះជាយ៉ាងណាក៏ដោយ ការជាប់លាប់នៃ botnet ត្រូវបានគាំទ្រដោយការកេងប្រវ័ញ្ចយ៉ាងទូលំទូលាយដែលមានសម្រាប់ឧបករណ៍ SOHO និង IoT ដែលងាយរងគ្រោះផ្សេងៗ និងចំនួនដ៏ច្រើននៃឧបករណ៍បែបនេះនៅលើអ៊ីនធឺណិត ដែលផ្តល់ឱ្យ Raptor Train នូវប្រភេទនៃការតស៊ូ 'ដែលជាប់លាប់' ។
ថ្នាំងត្រូវបានឆ្លងមេរោគជាមួយនឹងការផ្សាំក្នុងអង្គចងចាំដែលគេស្គាល់ថា Nosedive ដែលជាបំរែបំរួលផ្ទាល់ខ្លួនរបស់ Mirai botnet តាមរយៈម៉ាស៊ីនមេផ្ទុកបន្ទុកកម្រិត 2 ដែលបង្កើតឡើងជាពិសេសសម្រាប់គោលបំណងនេះ។ ប្រព័ន្ធគោលពីរ ELF នេះអនុញ្ញាតឱ្យដំណើរការពាក្យបញ្ជា ការបង្ហោះឯកសារ និងការទាញយក និងការវាយប្រហារដោយ DDoS ។
ថ្នាំងលំដាប់ទី 2 ត្រូវបានបង្វិលប្រហែលរៀងរាល់ 75 ថ្ងៃម្តង ហើយភាគច្រើនមានទីតាំងនៅសហរដ្ឋអាមេរិក សិង្ហបុរី ចក្រភពអង់គ្លេស ជប៉ុន និងកូរ៉េខាងត្បូង។ ចំនួនថ្នាំង C2 បានកើនឡើងពីប្រហែល 1-5 ចន្លោះឆ្នាំ 2020 និង 2022 ដល់យ៉ាងហោចណាស់ 60 នៅចន្លោះខែមិថុនា និងខែសីហា ឆ្នាំ 2024។
ថ្នាំងលំដាប់ទី 2 ទាំងនេះមានភាពចម្រុះ ដែលបម្រើមិនត្រឹមតែជាម៉ាស៊ីនមេកេងប្រវ័ញ្ច និងបន្ទុកប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងជួយសម្រួលដល់ការឈ្លបយកការណ៍នៃអង្គភាពគោលដៅ និងបញ្ចូលឧបករណ៍ថ្មីទៅក្នុង botnet ផងដែរ។
យុទ្ធនាការវាយប្រហារលើរថភ្លើង Raptor ជាច្រើនត្រូវបានគេរកឃើញ
ចាប់តាំងពីពាក់កណ្តាលឆ្នាំ 2020 មក យ៉ាងហោចណាស់យុទ្ធនាការផ្សេងគ្នាចំនួន 4 ត្រូវបានផ្សារភ្ជាប់ជាមួយនឹងការវិវត្តនៃ Raptor Train botnet ដែលនីមួយៗត្រូវបានកំណត់លក្ខណៈដោយដែនឫសផ្សេងគ្នា និងឧបករណ៍គោលដៅ៖
- Crossbill (ឧសភា 2020 ដល់ខែមេសា 2022) - បានប្រើប្រាស់ C2 root domain k3121.com និង subdomains ដែលពាក់ព័ន្ធរបស់វា។
- Finch (ខែកក្កដា ឆ្នាំ 2022 ដល់ខែមិថុនា ឆ្នាំ 2023) - បានប្រើប្រាស់ដែន C2 root b2047.com និងដែនរង C2 ដែលពាក់ព័ន្ធ។
- Canary (ឧសភា 2023 ដល់ខែសីហា 2023) - ក៏បានប្រើ C2 root domain b2047.com និង subdomains របស់វាដែរ ប៉ុន្តែពឹងផ្អែកលើ multi-stage droppers។
- Oriole (ខែមិថុនា 2023 ដល់ខែកញ្ញា 2024) - បានប្រើប្រាស់ C2 root domain w8510.com និងដែនរងដែលពាក់ព័ន្ធរបស់វា។
យុទ្ធនាការ Canary គឺគួរឱ្យកត់សម្គាល់ជាពិសេសសម្រាប់ការផ្តោតលើម៉ូដឹម ActionTec PK5000, កាមេរ៉ា Hikvision IP, Shenzhen TVT NVRs និងរ៉ោតទ័រ ASUS ។ វាត្រូវបានសម្គាល់ដោយខ្សែសង្វាក់ឆ្លងពហុស្រទាប់ដែលដំបូងទាញយកស្គ្រីប bash ដែលបន្ទាប់មកភ្ជាប់ទៅម៉ាស៊ីនមេផ្ទុកបន្ទុកកម្រិត 2 ដើម្បីទាញយក Nosedive និងស្គ្រីប bash ដំណាក់កាលទីពីរ។
អាជ្ញាធរចាត់វិធានការប្រឆាំងនឹងរថភ្លើង Raptor និងព្យុះទីហ្វុង Flax
ក្រសួងយុត្តិធម៌សហរដ្ឋអាមេរិក (DoJ) បានប្រកាសពីការដកយកបណ្តាញរថភ្លើង Raptor Train បន្ទាប់ពីប្រតិបត្តិការអនុវត្តច្បាប់ដែលអនុញ្ញាតដោយតុលាការ។ DoJ បានភ្ជាប់តួអង្គគម្រាមកំហែង Flax Typhoon ទៅនឹងក្រុមហ៊ុនដែលមានមូលដ្ឋាននៅទីក្រុងប៉េកាំងដែលបានជួញដូរជាសាធារណៈដែលមានឈ្មោះថា Integrity Technology Group ។
បណ្តាញមេរោគនេះបានភ្ជាប់ឧបករណ៍មេរោគរាប់ពាន់ទៅនឹង botnet ដែលគ្រប់គ្រងដោយ Integrity Technology Group។ វាត្រូវបានប្រើដើម្បីអនុវត្តសកម្មភាពគំរាមកំហែងតាមអ៊ីនធឺណិតដែលក្លែងខ្លួនជាចរាចរណ៍អ៊ីនធឺណិតធម្មតាពីឧបករណ៍ដែលមានមេរោគ។
ក្នុងអំឡុងពេលប្រតិបត្តិការ ការអនុវត្តច្បាប់បានរឹបអូសហេដ្ឋារចនាសម្ព័ន្ធរបស់អ្នកវាយប្រហារ និងបានចេញបញ្ជាបិទមេរោគនៅលើឧបករណ៍ដែលមានមេរោគ។ តួអង្គគំរាមកំហែងបានព្យាយាមរារាំងកិច្ចខិតខំប្រឹងប្រែងនេះដោយបើកការវាយប្រហារ DDoS ប្រឆាំងនឹងម៉ាស៊ីនមេដែលប្រើប្រាស់ដោយការិយាល័យស៊ើបអង្កេតសហព័ន្ធ (FBI) ដើម្បីប្រតិបត្តិតាមដីការបស់តុលាការ ប៉ុន្តែការប៉ុនប៉ងទាំងនេះមិនបានជោគជ័យទេ។
យោងទៅតាម DoJ ក្រុមហ៊ុន Integrity Technology Group បានដំណើរការកម្មវិធីអនឡាញដែលអនុញ្ញាតឱ្យអតិថិជនចូល និងគ្រប់គ្រងឧបករណ៍ដែលត្រូវបានសម្របសម្រួល។ កម្មវិធីនេះមានឈ្មោះថា 'KRLab' និងដាក់លក់ក្រោមម៉ាកយីហោសាធារណៈឈានមុខគេរបស់ក្រុមហ៊ុន Integrity Technology Group រួមបញ្ចូលឧបករណ៍មួយហៅថា 'vulnerability-arsenal' សម្រាប់ប្រតិបត្តិពាក្យបញ្ជាតាមអ៊ីនធឺណិតដែលមានគ្រោះថ្នាក់។
នៅខែមិថុនា ឆ្នាំ 2024 botnet បានកើនឡើងដល់ជាង 260,000 ឧបករណ៍ ដោយមានជនរងគ្រោះមានទីតាំងនៅអាមេរិកខាងជើង (135,300) អឺរ៉ុប (65,600) អាស៊ី (50,400) អាហ្រ្វិក (9,200) អូសេអានី (2,400) និងអាមេរិកខាងត្បូង (800)។
លើសពីនេះទៀត កំណត់ត្រាជាង 1.2 លាននៃឧបករណ៍ដែលត្រូវបានសម្របសម្រួលត្រូវបានរកឃើញនៅក្នុងមូលដ្ឋានទិន្នន័យ MySQL ដែលបង្ហោះនៅលើម៉ាស៊ីនមេគ្រប់គ្រងកម្រិត 3 ។ ម៉ាស៊ីនមេនេះគ្រប់គ្រងតាមរយៈកម្មវិធី Sparrow ត្រូវបានប្រើដើម្បីគ្រប់គ្រង botnet និង C2 servers និងរួមបញ្ចូលម៉ូឌុលសម្រាប់ការកេងប្រវ័ញ្ចបណ្តាញកុំព្យូទ័រដោយប្រើទាំងភាពងាយរងគ្រោះដែលគេស្គាល់ និងសូន្យថ្ងៃ។
