Raptor Train Botnet
Kibernetinio saugumo tyrėjai nustatė naują robotų tinklą, kurį sudaro pažeisti mažo biuro / namų biuro (SOHO) ir daiktų interneto (IoT) įrenginiai. Manoma, kad šį botnetą kontroliuoja Kinijos nacionalinės valstybės grėsmės grupė, žinoma kaip „Flax Typhoon“, dar vadinama „Etheral Panda“ arba „RedJuliett“.
Tyrėjai botnetą pavadino „Raptor Train“. Jis buvo aktyvus mažiausiai nuo 2020 m. gegužės mėn., o iki 2023 m. birželio mėn. pasiekė 60 000 pažeistų įrenginių piką.
Iki šiol „Raptor Train“ užgrobė daugiau nei 200 000 įrenginių, įskaitant SOHO maršrutizatorius, NVR / DVR sistemas, prie tinklo prijungtus saugojimo (NAS) serverius ir IP kameras, todėl tai yra vienas didžiausių valstybės remiamų daiktų interneto robotų tinklų, susietų su Kinija. .
Turinys
Ekspertai mano, kad „Raptor“ traukinys paveikė daugiau nei 200 000 įrenginių
Manoma, kad botneto infrastruktūra nuo pat jo įkūrimo pakenkė šimtams tūkstančių įrenginių. Jis veikia naudojant trijų pakopų architektūrą:
1 pakopa: pažeisti SOHO ir IoT įrenginiai
2 pakopa: išnaudojimo serveriai, naudingos apkrovos serveriai ir komandų ir valdymo (C2) serveriai
3 pakopa: centralizuoti valdymo mazgai ir kelių platformų elektroninių programų sąsaja, žinoma kaip „Sparrow“ (taip pat vadinama „Node Comprehensive Control Tool“ arba NCCT)
Šioje sąrankoje roboto užduotys inicijuojamos iš 3 pakopos „Sparrow“ valdymo mazgų, nukreipiamos per 2 pakopos C2 serverius ir galiausiai pateikiamos 1 pakopos robotams, kurie sudaro didžiąją robotų tinklo tinklo dalį.
Tiksliniai įrenginiai apima maršrutizatorius, IP kameras, DVR ir NAS sistemas iš įvairių gamintojų, tokių kaip ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK ir Zyxel.
Dauguma 1 pakopos mazgų buvo atsekti JAV, Taivane, Vietname, Brazilijoje, Honkonge ir Turkijoje. Kiekvieno mazgo vidutinė eksploatavimo trukmė yra 17,44 dienos, o tai rodo, kad grėsmės veikėjas prireikus gali lengvai pakartotinai užkrėsti įrenginius.
Išsami informacija apie „Raptor“ traukinio puolimo grandinę
Daugeliu atvejų operatoriai neįdiegė atkaklumo mechanizmo, kuris atlaikytų perkrovimą. Tačiau botneto išlikimą palaiko platus įvairių pažeidžiamų SOHO ir daiktų interneto įrenginių išnaudojimų spektras ir daugybė tokių įrenginių internete, todėl „Raptor Train“ yra tarsi „įgimtas“ atkaklumas.
Mazgai yra užkrėsti atmintyje esančiu implantu, žinomu kaip Nosedive, pasirinktiniu Mirai botneto variantu, naudojant specialiai šiam tikslui sukurtus 2 pakopos naudingos apkrovos serverius. Šis ELF dvejetainis failas leidžia vykdyti komandas, įkelti ir atsisiųsti failus bei DDoS atakas.
2 pakopos mazgai keičiami maždaug kas 75 dienas ir daugiausia yra JAV, Singapūre, JK, Japonijoje ir Pietų Korėjoje. C2 mazgų skaičius išaugo nuo 1–5 2020–2022 m. iki mažiausiai 60 2024 m. birželio–rugpjūčio mėn.
Šie 2 pakopos mazgai yra universalūs, tarnaujantys ne tik kaip eksploatavimo ir naudingosios apkrovos serveriai, bet ir palengvinantys tikslinių objektų žvalgymą bei naujų įrenginių įtraukimą į robotų tinklą.
Buvo atskleistos kelios „Raptor“ traukinių puolimo kampanijos
Nuo 2020 m. vidurio su besivystančiu „Raptor Train“ robotų tinklu buvo susietos mažiausiai keturios skirtingos kampanijos, kurių kiekvienai būdingi skirtingi šakniniai domenai ir tiksliniai įrenginiai:
- Crossbill (nuo 2020 m. gegužės iki 2022 m. balandžio mėn.) – naudotas C2 šakninis domenas k3121.com ir su juo susiję padomeniai.
- Finch (nuo 2022 m. liepos mėn. iki 2023 m. birželio mėn.) – naudojo C2 šakninį domeną b2047.com ir susijusius C2 padomenius.
- Kanarų salos (2023 m. gegužės mėn. iki 2023 m. rugpjūčio mėn.) – taip pat naudojo C2 šakninį domeną b2047.com ir jo padomenius, bet rėmėsi kelių etapų lašintuvais.
- „Oriole“ (nuo 2023 m. birželio mėn. iki 2024 m. rugsėjo mėn.) – naudotas C2 šakninis domenas w8510.com ir su juo susiję padomeniai.
Kampanija „Canary“ ypač verta dėmesio dėl to, kad ji sutelkta į „ActionTec PK5000“ modemus, „Hikvision“ IP kameras, „Shenzhen“ TVT NVR ir ASUS maršrutizatorius. Jis išsiskiria daugiasluoksne infekcijos grandine, kuri pirmiausia atsisiunčia „bash“ scenarijų, o vėliau prisijungia prie 2 pakopos naudingosios apkrovos serverio, kad gautų „Nosedive“ ir antrojo etapo „bash“ scenarijų.
Valdžia imasi veiksmų prieš Raptor traukinį ir linų taifūną
JAV teisingumo departamentas (DoJ) paskelbė apie „Raptor Train“ botneto panaikinimą po teismo įgaliotos teisėsaugos operacijos. DoJ susiejo „Linų taifūno“ grėsmės veikėją su viešai parduodama Pekino bendrove „Integrity Technology Group“.
Šis kenkėjiškų programų tinklas sujungė tūkstančius užkrėstų įrenginių prie botneto, kurį valdo Integrity Technology Group. Jis buvo naudojamas vykdyti grėsmingą kibernetinę veiklą, užmaskuotą kaip įprastą interneto srautą iš užkrėstų įrenginių.
Operacijos metu teisėsauga užgrobė užpuolikų infrastruktūrą ir užkrėstuose įrenginiuose išleido kenkėjiškų programų išjungimo komandas. Grėsmės veikėjai bandė sutrukdyti šioms pastangoms, pradėdami DDoS ataką prieš serverius, kuriuos Federalinis tyrimų biuras (FTB) naudojo teismo nurodymui vykdyti, tačiau šie bandymai buvo nesėkmingi.
Pasak DoJ, „Integrity Technology Group“ valdė internetinę programą, kuri leido klientams prisijungti ir valdyti pažeistus įrenginius. Ši programa, pavadinta „KRLab“ ir parduodama su „Integrity Technology Group“ pirmaujančiu viešuoju prekės ženklu, įtraukė įrankį, vadinamą „pažeidžiamumo arsenalu“, skirtą vykdyti kenksmingas kibernetines komandas.
Iki 2024 m. birželio mėn. robotų tinklas išaugo iki daugiau nei 260 000 įrenginių, o aukų buvo Šiaurės Amerikoje (135 300), Europoje (65 600), Azijoje (50 400), Afrikoje (9 200), Okeanijoje (2 400) ir Pietų Amerikoje (800).
Be to, MySQL duomenų bazėje, esančioje 3 lygio valdymo serveryje, buvo rasta daugiau nei 1,2 milijono pažeistų įrenginių įrašų. Šis serveris buvo valdomas per Sparrow programą, buvo naudojamas botnetui ir C2 serveriams valdyti ir jame buvo modulis, skirtas kompiuterių tinklams išnaudoti naudojant žinomus ir nulinės dienos pažeidžiamumus.
