Raptor Train Botnet
Penyelidik keselamatan siber telah mengenal pasti botnet baharu yang terdiri daripada peranti pejabat kecil/rumah (SOHO) dan Internet of Things (IoT) yang terjejas. Botnet ini dipercayai dikawal oleh kumpulan ancaman negara bangsa China yang dikenali sebagai Flax Typhoon, juga dirujuk sebagai Ethereal Panda atau RedJuliett.
Para penyelidik menamakan botnet itu 'Raptor Train'. Ia telah aktif sejak sekurang-kurangnya Mei 2020 dan mencapai kemuncak 60,000 peranti terjejas menjelang Jun 2023.
Sehingga kini, lebih 200,000 peranti, termasuk penghala SOHO, sistem NVR/DVR, pelayan storan terpasang rangkaian (NAS) dan kamera IP, telah dirampas oleh Raptor Train, menjadikannya salah satu botnet IoT tajaan negara terbesar yang dipautkan ke China. .
Isi kandungan
Pakar Menganggarkan Kereta Api Raptor Telah Menjejaskan Lebih 200,000 Peranti
Infrastruktur botnet dipercayai telah menjejaskan ratusan ribu peranti sejak penubuhannya. Ia beroperasi menggunakan seni bina tiga peringkat:
Peringkat 1: Peranti SOHO dan IoT terjejas
Tahap 2: Pelayan eksploitasi, pelayan muatan dan pelayan Perintah-dan-Kawalan (C2)
Peringkat 3: Nod pengurusan berpusat dan antara muka aplikasi Elektron merentas platform yang dikenali sebagai Sparrow (juga dipanggil Alat Kawalan Komprehensif Nod, atau NCCT)
Dalam persediaan ini, tugas bot dimulakan daripada nod pengurusan 'Sparrow' Tahap 3, dihalakan melalui pelayan Tahap 2 C2 dan akhirnya dihantar kepada bot dalam Tahap 1, yang membentuk sebahagian besar rangkaian botnet.
Peranti yang disasarkan termasuk penghala, kamera IP, DVR dan sistem NAS daripada pelbagai pengeluar seperti ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK dan Zyxel.
Kebanyakan nod Tahap 1 telah dikesan ke lokasi di AS, Taiwan, Vietnam, Brazil, Hong Kong dan Turki. Setiap nod mempunyai jangka hayat purata 17.44 hari, menunjukkan bahawa pelaku ancaman boleh menjangkiti semula peranti dengan mudah apabila diperlukan.
Butiran Mengenai Rantaian Serangan Kereta Api Raptor
Dalam banyak kes, pengendali tidak melaksanakan mekanisme kegigihan yang bertahan daripada but semula. Kegigihan botnet, walau bagaimanapun, disokong oleh rangkaian luas eksploitasi yang tersedia untuk pelbagai peranti SOHO dan IoT yang terdedah dan sejumlah besar peranti sedemikian dalam talian, memberikan Raptor Train sejenis kegigihan 'inheren'.
Nod dijangkiti dengan implan dalam memori yang dikenali sebagai Nosedive, varian tersuai botnet Mirai, melalui pelayan muatan Tahap 2 yang disediakan khusus untuk tujuan ini. Perduaan ELF ini membenarkan pelaksanaan perintah, muat naik dan muat turun fail serta serangan DDoS.
Nod Tahap 2 diputar kira-kira setiap 75 hari dan terletak terutamanya di AS, Singapura, UK, Jepun dan Korea Selatan. Bilangan nod C2 telah meningkat daripada kira-kira 1-5 antara 2020 dan 2022 kepada sekurang-kurangnya 60 antara Jun dan Ogos 2024.
Nod Tahap 2 ini serba boleh, berfungsi bukan sahaja sebagai pelayan eksploitasi dan muatan tetapi juga memudahkan peninjauan entiti yang disasarkan dan memasukkan peranti baharu ke dalam botnet.
Pelbagai Kempen Serangan Kereta Api Raptor Telah Dibongkar
Sejak pertengahan 2020, sekurang-kurangnya empat kempen berbeza telah dikaitkan dengan botnet Raptor Train yang sedang berkembang, setiap satu dicirikan oleh domain akar dan peranti sasaran yang berbeza:
- Crossbill (Mei 2020 hingga April 2022) - Menggunakan domain akar C2 k3121.com dan subdomain yang berkaitan dengannya.
- Finch (Julai 2022 hingga Jun 2023) - Menggunakan domain akar C2 b2047.com dan subdomain C2 yang berkaitan.
- Canary (Mei 2023 hingga Ogos 2023) - Juga menggunakan domain akar C2 b2047.com dan subdomainnya tetapi bergantung pada penitis berbilang peringkat.
- Oriole (Jun 2023 hingga September 2024) - Menggunakan domain akar C2 w8510.com dan subdomain yang berkaitan dengannya.
Kempen Canary amat diberi perhatian kerana tumpuannya pada modem ActionTec PK5000, kamera IP Hikvision, NVR TVT Shenzhen dan penghala ASUS. Ia dibezakan oleh rantai jangkitan berbilang lapisan yang mula-mula memuat turun skrip bash, yang kemudiannya bersambung ke pelayan muatan Tahap 2 untuk mengambil Nosedive dan skrip bash peringkat kedua.
Pihak Berkuasa Mengambil Tindakan Terhadap Kereta Api Raptor dan Taufan Flax
Jabatan Kehakiman (DoJ) AS telah mengumumkan pemansuhan botnet Raptor Train berikutan operasi penguatkuasaan undang-undang yang dibenarkan oleh mahkamah. DoJ telah mengaitkan pelakon ancaman Flax Typhoon dengan syarikat awam yang berpangkalan di Beijing bernama Integrity Technology Group.
Rangkaian perisian hasad ini menghubungkan beribu-ribu peranti yang dijangkiti kepada botnet yang diuruskan oleh Kumpulan Teknologi Integriti. Ia digunakan untuk menjalankan aktiviti siber mengancam yang menyamar sebagai trafik Internet biasa daripada peranti yang dijangkiti.
Semasa operasi itu, penguatkuasa undang-undang merampas infrastruktur penyerang dan mengeluarkan arahan melumpuhkan kepada perisian hasad pada peranti yang dijangkiti. Aktor ancaman cuba menghalang usaha ini dengan melancarkan serangan DDoS terhadap pelayan yang digunakan oleh Biro Siasatan Persekutuan (FBI) untuk melaksanakan perintah mahkamah, tetapi percubaan ini tidak berjaya.
Menurut DoJ, Integrity Technology Group mengendalikan aplikasi dalam talian yang membenarkan pelanggan log masuk dan mengawal peranti yang terjejas. Aplikasi ini, dinamakan 'KRLab' dan dipasarkan di bawah jenama awam terkemuka Integrity Technology Group, termasuk alat yang dipanggil 'vulnerability-arsenal' untuk melaksanakan arahan siber yang berbahaya.
Menjelang Jun 2024, botnet telah berkembang kepada lebih 260,000 peranti, dengan mangsa berada di Amerika Utara (135,300), Eropah (65,600), Asia (50,400), Afrika (9,200), Oceania (2,400) dan Amerika Selatan (800).
Selain itu, lebih 1.2 juta rekod peranti yang terjejas ditemui dalam pangkalan data MySQL yang dihoskan pada pelayan pengurusan Tahap 3. Pelayan ini diuruskan melalui aplikasi Sparrow, digunakan untuk mengawal pelayan botnet dan C2 dan termasuk modul untuk mengeksploitasi rangkaian komputer menggunakan kedua-dua kelemahan yang diketahui dan sifar hari.
