Ботнет Raptor Train
Исследователи кибербезопасности обнаружили новый ботнет, состоящий из скомпрометированных устройств малого офиса/домашнего офиса (SOHO) и Интернета вещей (IoT). Предполагается, что этот ботнет контролируется китайской государственной группой угроз, известной как Flax Typhoon, также известной как Ethereal Panda или RedJuliett.
Исследователи назвали ботнет «Raptor Train». Он активен по крайней мере с мая 2020 года и достиг пика в 60 000 скомпрометированных устройств к июню 2023 года.
На сегодняшний день Raptor Train взломал более 200 000 устройств, включая маршрутизаторы SOHO, системы NVR/DVR, серверы сетевых хранилищ (NAS) и IP-камеры, что делает его одним из крупнейших спонсируемых государством ботнетов IoT, связанных с Китаем.
Оглавление
Эксперты подсчитали, что поезд Raptor затронул более 200 000 устройств
Инфраструктура ботнета, как полагают, скомпрометировала сотни тысяч устройств с момента своего создания. Он работает с использованием трехуровневой архитектуры:
Уровень 1: взломанные устройства SOHO и IoT
Уровень 2: серверы эксплуатации, серверы полезной нагрузки и серверы управления и контроля (C2)
Уровень 3: Централизованные узлы управления и кроссплатформенный интерфейс приложения Electron, известный как Sparrow (также называемый Node Comprehensive Control Tool, или NCCT)
В этой конфигурации задачи бота инициируются с узлов управления уровня 3 «Sparrow», маршрутизируются через серверы C2 уровня 2 и в конечном итоге доставляются ботам уровня 1, которые составляют большую часть сети ботнета.
В число целевых устройств входят маршрутизаторы, IP-камеры, видеорегистраторы и системы NAS различных производителей, таких как ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK и Zyxel.
Большинство узлов Tier 1 были отслежены в местах в США, Тайване, Вьетнаме, Бразилии, Гонконге и Турции. Средний срок жизни каждого узла составляет 17,44 дня, что говорит о том, что злоумышленник может легко повторно заразить устройства, когда это необходимо.
Подробности о цепи атак Raptor Train
Во многих случаях операторы не реализовали механизм сохранения, который бы сохранялся после перезагрузки. Однако сохранение ботнета поддерживается широким спектром эксплойтов, доступных для различных уязвимых устройств SOHO и IoT, а также большим количеством таких устройств в сети, что дает Raptor Train своего рода «врожденную» постоянство.
Узлы заражаются имплантом в памяти, известным как Nosedive, пользовательским вариантом ботнета Mirai, через серверы полезной нагрузки Tier 2, специально настроенные для этой цели. Этот двоичный файл ELF позволяет выполнять команды, загружать и скачивать файлы, а также проводить DDoS-атаки.
Узлы Tier 2 меняются примерно каждые 75 дней и в основном расположены в США, Сингапуре, Великобритании, Японии и Южной Корее. Количество узлов C2 выросло с 1-5 в период с 2020 по 2022 год до как минимум 60 в период с июня по август 2024 года.
Эти узлы уровня 2 универсальны, они служат не только серверами эксплуатации и полезной нагрузки, но и облегчают разведку целевых объектов и включение новых устройств в ботнет.
Раскрыты многочисленные кампании по атакам поездов Raptor
С середины 2020 года с развивающимся ботнетом Raptor Train было связано не менее четырех отдельных кампаний, каждая из которых характеризовалась различными корневыми доменами и целевыми устройствами:
- Crossbill (май 2020 г. — апрель 2022 г.) — использовался корневой домен C2 k3121.com и связанные с ним поддомены.
- Finch (июль 2022 г. — июнь 2023 г.) — использовал корневой домен C2 b2047.com и связанные с ним поддомены C2.
- Canary (май 2023 г. — август 2023 г.) — также использовался корневой домен C2 b2047.com и его поддомены, но при этом использовались многоступенчатые дропперы.
- Oriole (июнь 2023 г. — сентябрь 2024 г.) — использовался корневой домен C2 w8510.com и связанные с ним поддомены.
Кампания Canary особенно примечательна своей направленностью на модемы ActionTec PK5000, IP-камеры Hikvision, сетевые видеорегистраторы Shenzhen TVT и маршрутизаторы ASUS. Она отличается многоуровневой цепочкой заражения, которая сначала загружает скрипт bash, который затем подключается к серверу полезной нагрузки Tier 2 для получения Nosedive и скрипта bash второго этапа.
Власти принимают меры против «поезда хищников» и тайфуна «Льняной»
Министерство юстиции США (DoJ) объявило о ликвидации ботнета Raptor Train после санкционированной судом операции по обеспечению правопорядка. Министерство юстиции связало злоумышленника Flax Typhoon с публичной компанией Integrity Technology Group, базирующейся в Пекине.
Эта вредоносная сеть соединила тысячи зараженных устройств с ботнетом, управляемым Integrity Technology Group. Она использовалась для осуществления угрожающих киберактивностей, замаскированных под обычный интернет-трафик с зараженных устройств.
В ходе операции правоохранительные органы захватили инфраструктуру злоумышленников и выдали команды на отключение вредоносного ПО на зараженных устройствах. Злоумышленники попытались помешать этим усилиям, запустив DDoS-атаку на серверы, используемые Федеральным бюро расследований (ФБР) для выполнения судебного постановления, но эти попытки не увенчались успехом.
По данным DoJ, Integrity Technology Group управляла онлайн-приложением, которое позволяло клиентам входить в систему и управлять скомпрометированными устройствами. Это приложение, названное «KRLab» и продаваемое под ведущим публичным брендом Integrity Technology Group, включало инструмент под названием «уязвимость-арсенал» для выполнения вредоносных киберкоманд.
К июню 2024 года ботнет разросся до более чем 260 000 устройств, жертвы находились в Северной Америке (135 300), Европе (65 600), Азии (50 400), Африке (9 200), Океании (2 400) и Южной Америке (800).
Кроме того, более 1,2 млн записей о скомпрометированных устройствах были обнаружены в базе данных MySQL, размещенной на сервере управления Tier 3. Этот сервер управлялся через приложение Sparrow, использовался для контроля ботнета и серверов C2 и включал модуль для эксплуатации компьютерных сетей с использованием как известных, так и уязвимостей нулевого дня.
