Raptor Train Botnet
Badacze cyberbezpieczeństwa zidentyfikowali nowy botnet składający się z zainfekowanych urządzeń małego biura/biura domowego (SOHO) i Internetu rzeczy (IoT). Uważa się, że ten botnet jest kontrolowany przez chińską grupę zagrożeń państwowych znaną jako Flax Typhoon, zwaną również Ethereal Panda lub RedJuliett.
Badacze nazwali botnet „Raptor Train”. Jest aktywny od co najmniej maja 2020 r. i osiągnął szczyt 60 000 zainfekowanych urządzeń do czerwca 2023 r.
Do tej pory Raptor Train przejął kontrolę nad ponad 200 000 urządzeń, w tym routerami SOHO, systemami NVR/DVR, serwerami pamięci masowej podłączonej do sieci (NAS) i kamerami IP. Dzięki temu stał się jedną z największych sponsorowanych przez państwo sieci botnetów IoT powiązanych z Chinami.
Spis treści
Eksperci szacują, że pociąg Raptor miał wpływ na ponad 200 000 urządzeń
Uważa się, że infrastruktura botnetu naruszyła setki tysięcy urządzeń od momentu jego powstania. Działa ona przy użyciu trójwarstwowej architektury:
Poziom 1: Zagrożone urządzenia SOHO i IoT
Poziom 2: Serwery eksploatacyjne, serwery ładunków i serwery poleceń i kontroli (C2)
Poziom 3: scentralizowane węzły zarządzania i wieloplatformowy interfejs aplikacji Electron znany jako Sparrow (nazywany również Node Comprehensive Control Tool, lub NCCT)
W tym rozwiązaniu zadania botów są inicjowane z węzłów zarządzających „Sparrow” poziomu 3, kierowane przez serwery C2 poziomu 2 i ostatecznie dostarczane do botów poziomu 1, które stanowią większość sieci botnetu.
Docelowe urządzenia obejmują routery, kamery IP, rejestratory DVR i systemy NAS od różnych producentów, takich jak ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK i Zyxel.
Większość węzłów Tier 1 została zlokalizowana w lokalizacjach w USA, na Tajwanie, w Wietnamie, Brazylii, Hongkongu i Turcji. Każdy węzeł ma średni okres życia 17,44 dni, co sugeruje, że sprawca zagrożenia może łatwo ponownie zainfekować urządzenia, kiedy tylko zajdzie taka potrzeba.
Szczegóły dotyczące łańcucha ataków pociągu Raptor
W wielu przypadkach operatorzy nie wdrożyli mechanizmu trwałości, który przetrwa ponowne uruchomienie. Trwałość botnetu jest jednak wspierana przez szeroki zakres exploitów dostępnych dla różnych podatnych urządzeń SOHO i IoT oraz dużą liczbę takich urządzeń online, co daje Raptor Train rodzaj „wrodzonej” trwałości.
Węzły są infekowane implantem w pamięci znanym jako Nosedive, niestandardową odmianą botnetu Mirai, poprzez serwery ładunku Tier 2 specjalnie skonfigurowane w tym celu. Ten plik binarny ELF umożliwia wykonywanie poleceń, przesyłanie i pobieranie plików oraz ataki DDoS.
Węzły poziomu 2 są rotowane co około 75 dni i znajdują się głównie w USA, Singapurze, Wielkiej Brytanii, Japonii i Korei Południowej. Liczba węzłów C2 wzrosła z około 1-5 między 2020 a 2022 r. do co najmniej 60 między czerwcem a sierpniem 2024 r.
Węzły poziomu 2 są wszechstronne, służą nie tylko jako serwery do eksploatacji luk i przesyłania ładunków, ale także ułatwiają rozpoznanie docelowych jednostek i włączanie nowych urządzeń do botnetu.
Odkryto wiele kampanii ataków pociągów Raptor
Od połowy 2020 r. z rozwijającym się botnetem Raptor Train wiązano co najmniej cztery odrębne kampanie, z których każda charakteryzowała się innymi domenami głównymi i urządzeniami docelowymi:
- Crossbill (maj 2020 r. – kwiecień 2022 r.) – wykorzystywał domenę główną C2 k3121.com i powiązane z nią subdomeny.
- Finch (lipiec 2022 r. – czerwiec 2023 r.) – wykorzystywał domenę główną C2 b2047.com i powiązane subdomeny C2.
- Canary (od maja 2023 r. do sierpnia 2023 r.) — również korzystał z domeny głównej C2 b2047.com i jej subdomen, ale polegał na wieloetapowych dropperach.
- Oriole (od czerwca 2023 r. do września 2024 r.) — wykorzystywał domenę główną C2 w8510.com i powiązane z nią subdomeny.
Kampania Canary jest szczególnie godna uwagi ze względu na skupienie się na modemach ActionTec PK5000, kamerach IP Hikvision, rejestratorach NVR Shenzhen TVT i routerach ASUS. Wyróżnia się wielowarstwowym łańcuchem infekcji, który najpierw pobiera skrypt bash, który następnie łączy się z serwerem ładunku Tier 2, aby pobrać Nosedive i skrypt bash drugiego etapu.
Władze podejmują działania w związku z pociągiem Raptor i tajfunem Flax
Departament Sprawiedliwości USA (DoJ) ogłosił usunięcie botnetu Raptor Train po operacji organów ścigania zatwierdzonej przez sąd. DoJ powiązał aktora zagrożenia Flax Typhoon z notowaną na giełdzie firmą z siedzibą w Pekinie o nazwie Integrity Technology Group.
Ta sieć malware łączyła tysiące zainfekowanych urządzeń z botnetem zarządzanym przez Integrity Technology Group. Służyła do przeprowadzania groźnych działań cybernetycznych zamaskowanych jako regularny ruch internetowy z zainfekowanych urządzeń.
Podczas operacji organy ścigania przejęły infrastrukturę atakujących i wydały polecenia wyłączające złośliwe oprogramowanie na zainfekowanych urządzeniach. Aktorzy zagrożenia próbowali przeszkodzić w tym wysiłku, uruchamiając atak DDoS na serwery używane przez Federalne Biuro Śledcze (FBI) do wykonania nakazu sądowego, ale próby te zakończyły się niepowodzeniem.
Według DoJ, Integrity Technology Group obsługiwała aplikację online, która pozwalała klientom logować się i kontrolować zagrożone urządzenia. Ta aplikacja, nazwana „KRLab” i sprzedawana pod wiodącą publiczną marką Integrity Technology Group, zawierała narzędzie o nazwie „vulnerability-arsenal” do wykonywania szkodliwych poleceń cybernetycznych.
Do czerwca 2024 r. botnet rozrósł się do ponad 260 000 urządzeń, a ofiary znajdowały się w Ameryce Północnej (135 300), Europie (65 600), Azji (50 400), Afryce (9200), Oceanii (2400) i Ameryce Południowej (800).
Ponadto w bazie danych MySQL hostowanej na serwerze zarządzającym Tier 3 znaleziono ponad 1,2 miliona rekordów zainfekowanych urządzeń. Serwer ten zarządzany za pomocą aplikacji Sparrow był używany do kontrolowania serwerów botnet i C2 i zawierał moduł do wykorzystywania sieci komputerowych przy użyciu zarówno znanych, jak i zero-day luk.
