Computerbeveiliging Chinese cyberspionagegroep lanceert Raptor-treinbotnet,...

Chinese cyberspionagegroep lanceert Raptor-treinbotnet, gericht op Amerikaanse en Taiwanese legers

In een schokkende ontwikkeling hebben cybersecurity-experts een enorme botnetoperatie ontdekt die werd georkestreerd door een door de Chinese staat gesponsorde spionagegroep. Dit botnet, codenaam Raptor Train , heeft honderdduizenden kleine kantoor-/thuiskantoor (SOHO) en Internet of Things (IoT)-apparaten gecompromitteerd, waardoor kritieke infrastructuur in de VS en Taiwan in gevaar komt. Het botnet richt zich voornamelijk op sectoren zoals het leger, de overheid, het hoger onderwijs, telecommunicatie en defensie-industriële bases.

Raptortrein is een bedreiging op meerdere niveaus

Volgens een rapport van Black Lotus Labs, de onderzoeksafdeling van Lumen Technologies, werd het botnet gebouwd door de Chinese hackersgroep Flax Typhoon . Deze Advanced Persistent Threat (APT)-groep is berucht vanwege het infiltreren van Taiwanese organisaties terwijl ze stiekem bleven door minimale malware en legitieme softwaretools te gebruiken. Black Lotus Labs schat dat het botnet sinds de oprichting in mei 2020 meer dan 200.000 apparaten heeft geïnfecteerd. Op het hoogtepunt, medio 2023, waren meer dan 60.000 apparaten actief gecompromitteerd.

De command-and-control (C2) infrastructuur achter het botnet is zeer geavanceerd. De backend wordt aangestuurd door een gecentraliseerd Node.js-platform, terwijl een cross-platform front-end tool genaamd Sparrow de gecompromitteerde apparaten beheert. Sparrow is ontworpen om opdrachten op afstand uit te voeren, kwetsbaarheden te beheren, bestandsoverdrachten te vergemakkelijken en mogelijk distributed denial-of-service (DDoS)-aanvallen te lanceren. Er is echter nog geen DDoS-activiteit gemeld van het botnet.

IoT-apparaten gebruiken voor spionage

Het Raptor Train-botnet is verdeeld in drie lagen. Laag 1 bestaat uit gecompromitteerde IoT-apparaten zoals routers, modems, IP-camera's en NAS-systemen (Network Attached Storage). Deze apparaten worden voortdurend geroteerd en blijven gemiddeld 17 dagen actief voordat ze worden vervangen. Laag 2 is verantwoordelijk voor exploitatieservers en C2-knooppunten, terwijl laag 3 het netwerk beheert via het Sparrow -platform.

Meer dan 20 verschillende soorten apparaten, waaronder modems van ActionTec, ASUS en DrayTek Vigor, samen met IP-camera's van D-Link, Hikvision en Panasonic, worden uitgebuit met een mix van zero-day en bekende kwetsbaarheden. De malware die de Tier 1-knooppunten aanstuurt, genaamd Nosedive , is een variant van het beruchte Mirai-implantaat. Nosedive werkt volledig in het geheugen, waardoor het extreem moeilijk te detecteren is, en infecteert een breed scala aan apparaten, waaronder apparaten met MIPS-, ARM-, SuperH- en PowerPC-architecturen.

Het aanvallen van kritieke Amerikaanse en Taiwanese infrastructuur

Het botnet heeft uitgebreid gescand en zich gericht op belangrijke Amerikaanse militaire en overheidssectoren, evenals organisaties binnen de defensie-industriële basis (DIB). Onderzoekers van Black Lotus Labs hebben botnetactiviteit waargenomen die gericht is op het exploiteren van kwetsbare software zoals Atlassian Confluence-servers en Ivanti Connect Secure-apparaten, met een focus op de VS en Taiwan.

In één geval richtten de botnet-operators zich op een overheidsinstantie in Kazachstan, wat de wereldwijde reikwijdte van de Raptor Train-operatie illustreert. De aanvallen vertrouwen op aangepaste tools en geavanceerde technieken, waardoor het moeilijk is om het botnet te identificeren en te neutraliseren.

Rechtshandhaving en reactie van de industrie

Als reactie op de dreiging van het Raptor Train-botnet heeft Black Lotus Labs verkeer van bekende botnetknooppunten en -infrastructuur null-gerout. Amerikaanse wetshandhavingsinstanties werken actief aan het ontmantelen van het botnet, dat wereldwijd een dreigende bedreiging blijft voor kritieke infrastructuur.

Hoewel de primaire focus van het botnet spionage is, roept de mogelijkheid voor externe opdrachtuitvoering en kwetsbaarheidsbeheer zorgen op over mogelijke DDoS-aanvallen of andere verstorende activiteiten. Terwijl de cybersecuritygemeenschap deze dreiging blijft monitoren en beperken, moeten organisaties in de VS en Taiwan waakzaam blijven om hun IoT-apparaten en -netwerken te beveiligen tegen verdere exploitatie.

De ontdekking van het Raptor Train-botnet is een harde herinnering aan de kwetsbaarheid van IoT-apparaten in de onderling verbonden wereld van vandaag. Nu Chinese cyberespionagegroepen kritieke Amerikaanse en Taiwanese sectoren als doelwit hebben, is het handhaven van sterke cyberbeveiligingsmaatregelen nog nooit zo belangrijk geweest. Organisaties moeten ervoor zorgen dat hun netwerken en apparaten regelmatig worden gepatcht en bijgewerkt om zich te verdedigen tegen dit geavanceerde botnet.

Belangrijkste punten :

  • De APT-groep Flax Typhoon heeft het Raptor Train-botnet gebouwd, dat zich richt op militaire en overheidsinstellingen in de VS en Taiwan.
  • Meer dan 200.000 IoT-apparaten zijn geïnfecteerd, met de nadruk op routers, modems, IP-camera's en NAS-systemen.
  • De infrastructuur van het botnet is robuust en maakt gebruik van geavanceerde hulpmiddelen zoals het Sparrow -platform voor beheer en exploitatie op afstand.
  • De Amerikaanse wetshandhaving is actief bezig om de infrastructuur van het botnet onschadelijk te maken.
  • Door inzicht te krijgen in de tactieken en doelen van groepen zoals Flax Typhoon, kunnen we onze kritieke infrastructuur beter beschermen tegen toekomstige cyberdreigingen.

    Bezig met laden...