Raptor Train Botnet

साइबरसुरक्षा अनुसन्धानकर्ताहरूले सम्झौता गरिएको सानो अफिस/होम अफिस (SOHO) र इन्टरनेट अफ थिंग्स (IoT) यन्त्रहरू समावेश भएको नयाँ बोटनेट पहिचान गरेका छन्। यो बोटनेटलाई फ्ल्याक्स टाइफुन भनेर चिनिने चिनियाँ राष्ट्र-राज्य खतरा समूहद्वारा नियन्त्रण गरिएको मानिन्छ, जसलाई इथरियल पान्डा वा रेडजुलिट पनि भनिन्छ।

अन्वेषकहरूले बोटनेटलाई 'र्याप्टर ट्रेन' नाम दिए। यो कम्तिमा मे २०२० देखि सक्रिय छ र जुन २०२३ सम्ममा ६०,००० सम्झौता गरिएका यन्त्रहरूको शिखरमा पुगेको छ।

आज सम्म, SOHO राउटरहरू, NVR/DVR प्रणालीहरू, नेटवर्क-संलग्न भण्डारण (NAS) सर्भरहरू, र IP क्यामेराहरू सहित 200,000 भन्दा बढी उपकरणहरू, Raptor Train द्वारा हाइज्याक गरिएको छ, यसलाई चीनसँग जोडिएको सबैभन्दा ठूलो राज्य-प्रायोजित IoT बोटनेटहरू मध्ये एक बनाइएको छ। ।

विज्ञहरूले र्याप्टर ट्रेनले 200,000 भन्दा बढी उपकरणहरूलाई असर गरेको अनुमान

बोटनेटको पूर्वाधारले यसको स्थापनादेखि नै सयौं हजारौं यन्त्रहरूमा सम्झौता गरेको विश्वास गरिन्छ। यो तीन-स्तरीय वास्तुकला प्रयोग गरेर सञ्चालन गर्दछ:

टियर 1: सम्झौता SOHO र IoT यन्त्रहरू

टियर २: शोषण सर्भरहरू, पेलोड सर्भरहरू र कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरहरू

टियर 3: केन्द्रीकृत व्यवस्थापन नोडहरू र स्प्यारो भनेर चिनिने क्रस-प्लेटफर्म इलेक्ट्रोन अनुप्रयोग इन्टरफेस (जसलाई नोड व्यापक नियन्त्रण उपकरण, वा NCCT पनि भनिन्छ)

यस सेटअपमा, बोट कार्यहरू टियर 3 'स्प्यारो' व्यवस्थापन नोडहरूबाट सुरु गरिन्छ, टियर 2 C2 सर्भरहरू मार्फत रूट गरिन्छ, र अन्ततः टियर 1 मा बटहरूमा डेलिभर गरिन्छ, जसले बोटनेटको नेटवर्कको बहुमत बनाउँछ।

लक्षित यन्त्रहरूले विभिन्न निर्माताहरू जस्तै ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, बाट राउटरहरू, IP क्यामेराहरू, DVRs, र NAS प्रणालीहरू समावेश गर्दछ। -LINK र Zyxel।

धेरै जसो टियर 1 नोडहरू अमेरिका, ताइवान, भियतनाम, ब्राजिल, हङकङ र टर्कीका स्थानहरूमा पत्ता लगाइएको छ। प्रत्येक नोडको औसत आयु 17.44 दिन हुन्छ, सुझाव दिन्छ कि खतरा अभिनेताले आवश्यक पर्दा यन्त्रहरूलाई सजिलैसँग पुन: संक्रमित गर्न सक्छ।

Raptor ट्रेन हमला चेन बारे विवरण

धेरै अवस्थामा, अपरेटरहरूले रिबुट बाँच्ने दृढता संयन्त्र लागू गरेनन्। बोटनेटको दृढता, तथापि, विभिन्न कमजोर SOHO र IoT उपकरणहरूको लागि उपलब्ध शोषणको विस्तृत दायरा र त्यस्ता यन्त्रहरूको ठूलो संख्या अनलाइनद्वारा समर्थित छ, जसले Raptor Train लाई एक प्रकारको 'निहित' दृढता प्रदान गर्दछ।

नोडहरू यस उद्देश्यका लागि विशेष रूपमा सेटअप गरिएको टियर २ पेलोड सर्भरहरू मार्फत Mirai बोटनेटको अनुकूलन संस्करण, Nosedive भनेर चिनिने इन-मेमोरी इम्प्लान्टबाट संक्रमित छन्। यो ELF बाइनरीले आदेश कार्यान्वयन, फाइल अपलोड र डाउनलोडहरू, र DDoS आक्रमणहरूको लागि अनुमति दिन्छ।

टियर 2 नोडहरू लगभग हरेक 75 दिनमा घुमाइन्छ र मुख्य रूपमा अमेरिका, सिंगापुर, यूके, जापान र दक्षिण कोरियामा अवस्थित छन्। C2 नोडहरूको संख्या 2020 र 2022 को बीचमा लगभग 1-5 बाट बढेर जुन र अगस्त 2024 को बीचमा कम्तिमा 60 पुगेको छ।

यी टियर 2 नोडहरू बहुमुखी छन्, जसले शोषण र पेलोड सर्भरको रूपमा मात्र सेवा गर्दैन तर लक्षित संस्थाहरूको हेरचाहको सुविधा पनि प्रदान गर्दछ र बोटनेटमा नयाँ उपकरणहरू समावेश गर्दछ।

बहु र्याप्टर ट्रेन आक्रमण अभियानहरू उजागर गरिएको छ

2020 को मध्य देखि, कम्तिमा चार फरक अभियानहरू विकसित र्याप्टर ट्रेन बोटनेटसँग सम्बन्धित छन्, प्रत्येक फरक रूट डोमेन र लक्षित यन्त्रहरूद्वारा विशेषता:

• क्रसबिल (मे २०२० देखि अप्रिल २०२२) - C2 रूट डोमेन k3121.com र यससँग सम्बन्धित सबडोमेनहरू प्रयोग गरियो।
• फिन्च (जुलाई 2022 देखि जुन 2023) - C2 रूट डोमेन b2047.com र सम्बन्धित C2 सबडोमेनहरू कार्यरत।
• क्यानरी (मे २०२३ देखि अगस्ट २०२३) - C2 रूट डोमेन b2047.com र यसको सबडोमेनहरू पनि प्रयोग गरियो तर बहु-चरण ड्रपरहरूमा भर पर्यो।
• Oriole (जुन 2023 देखि सेप्टेम्बर 2024) - C2 रूट डोमेन w8510.com र यससँग सम्बन्धित सबडोमेनहरू प्रयोग गरियो।

क्यानरी अभियान विशेष गरी ActionTec PK5000 मोडेम, Hikvision IP क्यामेरा, शेन्जेन TVT NVRs र ASUS राउटरहरूमा ध्यान केन्द्रित गर्नको लागि उल्लेखनीय छ। यो एक बहु-स्तरित संक्रमण श्रृंखला द्वारा छुट्याइन्छ जुन पहिले ब्यास स्क्रिप्ट डाउनलोड गर्दछ, जुन त्यसपछि टियर 2 पेलोड सर्भरमा जडान हुन्छ Nosedive र दोस्रो-चरण bash स्क्रिप्ट ल्याउन।

अधिकारीहरूले र्याप्टर ट्रेन र फ्ल्याक्स टाइफुन विरुद्ध कारबाही गर्छन्

अमेरिकी न्याय विभाग (डीओजे) ले अदालतले अधिकृत कानून प्रवर्तन अपरेशन पछि र्याप्टर ट्रेन बोटनेट हटाउने घोषणा गरेको छ। DoJ ले फ्ल्याक्स टाइफुनको खतरा अभिनेतालाई सार्वजनिक रूपमा ट्रेड गरिएको बेइजिङमा आधारित इन्टेग्रिटी टेक्नोलोजी ग्रुपसँग जोडेको छ।

यो मालवेयर नेटवर्कले हजारौं संक्रमित यन्त्रहरूलाई इन्टेग्रिटी टेक्नोलोजी समूहद्वारा व्यवस्थित बोटनेटमा जडान गर्यो। यो संक्रमित उपकरणहरूबाट नियमित इन्टरनेट ट्राफिकको रूपमा वेशमा खतरनाक साइबर गतिविधिहरू सञ्चालन गर्न प्रयोग गरिएको थियो।

अपरेशनको क्रममा, कानून प्रवर्तनले आक्रमणकारीहरूको पूर्वाधार कब्जा गर्‍यो र संक्रमित उपकरणहरूमा मालवेयरलाई असक्षम गर्ने आदेशहरू जारी गर्‍यो। अदालतको आदेश कार्यान्वयन गर्न फेडरल ब्यूरो अफ इन्भेस्टिगेशन (FBI) द्वारा प्रयोग गरिएको सर्भरहरू विरुद्ध DDoS आक्रमण सुरु गरेर धम्की दिने व्यक्तिहरूले यस प्रयासलाई बाधा पुर्‍याउने प्रयास गरे, तर यी प्रयासहरू असफल भए।

DoJ को अनुसार, Integrity Technology Group ले एक अनलाइन अनुप्रयोग सञ्चालन गर्यो जसले ग्राहकहरूलाई लग इन गर्न र सम्झौता गरिएका उपकरणहरू नियन्त्रण गर्न अनुमति दियो। 'KRLab' नामको यो एप्लिकेसन, Integrity Technology Group को अग्रणी सार्वजनिक ब्रान्ड अन्तर्गत मार्केट गरिएको, हानिकारक साइबर आदेशहरू कार्यान्वयन गर्न 'Vulnerability-arsenal' नामक उपकरण समावेश गरिएको छ।

जुन 2024 सम्म, बोटनेटले उत्तरी अमेरिका (135,300), युरोप (65,600), एशिया (50,400), अफ्रिका (9,200), ओशिनिया (2,400) र दक्षिण अमेरिका (800) मा रहेका पीडितहरू सहित 260,000 यन्त्रहरू बनाइसकेको थियो।

थप रूपमा, टियर 3 व्यवस्थापन सर्भरमा होस्ट गरिएको MySQL डाटाबेसमा सम्झौता गरिएका यन्त्रहरूको 1.2 मिलियन भन्दा बढी रेकर्डहरू फेला परे। यो सर्भर Sparrow अनुप्रयोग मार्फत व्यवस्थित, बोटनेट र C2 सर्भरहरू नियन्त्रण गर्न प्रयोग गरिएको थियो र दुवै ज्ञात र शून्य-दिन जोखिमहरू प्रयोग गरी कम्प्युटर नेटवर्कहरू शोषणको लागि एक मोड्युल समावेश गरिएको थियो।