Raptor Train robottīkls
Kiberdrošības pētnieki ir identificējuši jaunu robottīklu, kas sastāv no apdraudētām maza biroja/mājas biroja (SOHO) un lietiskā interneta (IoT) ierīcēm. Tiek uzskatīts, ka šo robottīklu kontrolē Ķīnas nacionālās valsts apdraudējuma grupa, kas pazīstama kā Flax Typhoon, ko dēvē arī par Ethereal Panda vai RedJuliett.
Pētnieki robottīklu nosauca par "Raptor Train". Tas ir bijis aktīvs vismaz kopš 2020. gada maija, un līdz 2023. gada jūnijam tas sasniedza maksimumu — 60 000 kompromitētu ierīču.
Līdz šim Raptor Train ir nolaupījis vairāk nekā 200 000 ierīču, tostarp SOHO maršrutētājus, NVR/DVR sistēmas, tīklam pievienotus atmiņas (NAS) serverus un IP kameras, padarot to par vienu no lielākajiem valsts sponsorētajiem IoT robottīkliem, kas saistīti ar Ķīnu. .
Satura rādītājs
Eksperti lēš, ka Raptor vilciens ir ietekmējis vairāk nekā 200 000 ierīču
Tiek uzskatīts, ka robottīkla infrastruktūra kopš tā izveides ir apdraudējusi simtiem tūkstošu ierīču. Tas darbojas, izmantojot trīs līmeņu arhitektūru:
1. līmenis: apdraudētas SOHO un IoT ierīces
2. līmenis: ekspluatācijas serveri, lietderīgās slodzes serveri un komandu un vadības (C2) serveri
3. līmenis: centralizēti pārvaldības mezgli un starpplatformu elektronu lietojumprogrammu saskarne, kas pazīstama kā Sparrow (saukta arī par mezglu visaptverošo vadības rīku jeb NCCT)
Šajā iestatījumā robotprogrammatūras uzdevumi tiek uzsākti no 3. līmeņa “Sparrow” pārvaldības mezgliem, tiek maršrutēti caur 2. līmeņa C2 serveriem un galu galā tiek piegādāti 1. līmeņa robotiem, kas veido lielāko daļu robottīkla tīkla.
Mērķa ierīces ietver maršrutētājus, IP kameras, DVR un NAS sistēmas no dažādiem ražotājiem, piemēram, ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK un Zyxel.
Lielākā daļa 1. līmeņa mezglu ir atrasti ASV, Taivānā, Vjetnamā, Brazīlijā, Honkongā un Turcijā. Katra mezgla vidējais kalpošanas laiks ir 17,44 dienas, kas liecina, ka apdraudējuma persona var viegli atkārtoti inficēt ierīces, kad vien tas ir nepieciešams.
Sīkāka informācija par Raptor vilciena uzbrukuma ķēdi
Daudzos gadījumos operatori neieviesa noturības mehānismu, kas iztur pārstartēšanu. Tomēr robottīkla noturību atbalsta plašais ekspluatācijas klāsts, kas pieejams dažādām neaizsargātām SOHO un IoT ierīcēm, un lielais šādu ierīču skaits tiešsaistē, nodrošinot Raptor Train sava veida “raksturīgu” noturību.
Mezgli ir inficēti ar atmiņā iebūvētu implantu, kas pazīstams kā Nosedive, kas ir pielāgots Mirai robottīkla variants, izmantojot 2. līmeņa kravnesības serverus, kas īpaši izveidoti šim nolūkam. Šis ELF binārais fails nodrošina komandu izpildi, failu augšupielādi un lejupielādi, kā arī DDoS uzbrukumus.
2. līmeņa mezgli tiek pagriezti aptuveni ik pēc 75 dienām, un tie galvenokārt atrodas ASV, Singapūrā, Apvienotajā Karalistē, Japānā un Dienvidkorejā. C2 mezglu skaits ir pieaudzis no aptuveni 1-5 no 2020. līdz 2022. gadam līdz vismaz 60 no 2024. gada jūnija līdz augustam.
Šie 2. līmeņa mezgli ir daudzpusīgi, kalpojot ne tikai kā ekspluatācijas un slodzes serveri, bet arī atvieglo mērķa entītiju izpēti un jaunu ierīču iekļaušanu robottīklā.
Ir atklātas vairākas Raptor vilcienu uzbrukuma kampaņas
Kopš 2020. gada vidus ar attīstošo robottīklu Raptor Train ir saistītas vismaz četras atšķirīgas kampaņas, un katrai no tām ir dažādi saknes domēni un mērķierīces.
- Crossbill (no 2020. gada maija līdz 2022. gada aprīlim) — tika izmantots C2 saknes domēns k3121.com un ar to saistītie apakšdomēni.
- Finch (no 2022. gada jūlija līdz 2023. gada jūnijam) — izmantoja C2 saknes domēnu b2047.com un saistītos C2 apakšdomēnus.
- Kanārija (no 2023. gada maija līdz 2023. gada augustam) — tika izmantots arī C2 saknes domēns b2047.com un tā apakšdomēni, taču tika izmantoti daudzpakāpju pilinātāji.
- Oriole (no 2023. gada jūnija līdz 2024. gada septembrim) — tika izmantots C2 saknes domēns w8510.com un ar to saistītie apakšdomēni.
Kanāriju kampaņa ir īpaši ievērības cienīga, jo tā koncentrējas uz ActionTec PK5000 modemiem, Hikvision IP kamerām, Shenzhen TVT NVR un ASUS maršrutētājiem. Tas atšķiras ar daudzslāņu infekcijas ķēdi, kas vispirms lejupielādē bash skriptu, kas pēc tam savienojas ar 2. līmeņa lietderīgās slodzes serveri, lai ielādētu Nosedive un otrās pakāpes bash skriptu.
Varas iestādes rīkojas pret Raptor Train un Linu taifūnu
ASV Tieslietu ministrija (DoJ) ir paziņojusi par robottīkla Raptor Train likvidēšanu pēc tiesas pilnvarotas tiesībaizsardzības operācijas. Tieslietu ministrija ir saistījusi Flax Typhoon draudu dalībnieku ar Pekinā reģistrētu uzņēmumu Integrity Technology Group.
Šis ļaunprogrammatūras tīkls savienoja tūkstošiem inficētu ierīču ar robottīklu, ko pārvalda Integrity Technology Group. Tas tika izmantots, lai veiktu draudīgas kiberdarbības, kas slēptas kā regulāra interneta trafika no inficētajām ierīcēm.
Operācijas laikā tiesībsargājošās iestādes sagrāba uzbrucēju infrastruktūru un izdeva ļaunprogrammatūras atspējošanas komandas inficētajās ierīcēs. Draudu dalībnieki mēģināja kavēt šos centienus, uzsākot DDoS uzbrukumu serveriem, kurus Federālais izmeklēšanas birojs (FIB) izmantoja, lai izpildītu tiesas rīkojumu, taču šie mēģinājumi bija nesekmīgi.
Saskaņā ar DoJ teikto, Integrity Technology Group pārvaldīja tiešsaistes lietojumprogrammu, kas ļāva klientiem pieteikties un kontrolēt apdraudētas ierīces. Šajā lietojumprogrammā, kuras nosaukums ir “KRLab” un kura tika tirgota ar Integrity Technology Group vadošo publisko zīmolu, bija iekļauts rīks ar nosaukumu “ievainojamības arsenāls” kaitīgu kiberkomandu izpildei.
Līdz 2024. gada jūnijam robottīkls bija pieaudzis līdz vairāk nekā 260 000 ierīču, un upuri atradās Ziemeļamerikā (135 300), Eiropā (65 600), Āzijā (50 400), Āfrikā (9200), Okeānijā (2400) un Dienvidamerikā (800).
Turklāt MySQL datu bāzē, kas mitināta 3. līmeņa pārvaldības serverī, tika atrasti vairāk nekā 1,2 miljoni kompromitētu ierīču ierakstu. Šis serveris tika pārvaldīts, izmantojot lietojumprogrammu Sparrow, tika izmantots robottīklu un C2 serveru vadīšanai, un tajā bija iekļauts modulis datortīklu izmantošanai, izmantojot gan zināmās, gan nulles dienas ievainojamības.
