Botnet Raptor Train
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali nový botnet pozostávajúci z kompromitovaných zariadení pre malé kancelárie/domáce kancelárie (SOHO) a internetu vecí (IoT). Predpokladá sa, že tento botnet je kontrolovaný čínskou národnou štátnou hrozbou známou ako Flax Typhoon, označovanou aj ako Ethereal Panda alebo RedJuliett.
Vedci nazvali botnet „Raptor Train“. Je aktívny minimálne od mája 2020 a do júna 2023 dosiahol vrchol 60 000 napadnutých zariadení.
K dnešnému dňu bolo Raptor Train unesených viac ako 200 000 zariadení vrátane SOHO smerovačov, NVR/DVR systémov, serverov NAS (Network Attached Storage) a IP kamier, čo z neho robí jeden z najväčších štátom sponzorovaných IoT botnetov spojených s Čínou. .
Obsah
Odborníci odhadujú, že vlak Raptor ovplyvnil viac ako 200 000 zariadení
Predpokladá sa, že infraštruktúra botnetu od svojho vzniku kompromitovala státisíce zariadení. Funguje pomocou trojvrstvovej architektúry:
Úroveň 1: Kompromitované zariadenia SOHO a IoT
Úroveň 2: Exploatačné servery, servery užitočného zaťaženia a servery Command-and-Control (C2)
Úroveň 3: Centralizované riadiace uzly a medziplatformové rozhranie Electron aplikácie známe ako Sparrow (tiež nazývané Node Comprehensive Control Tool alebo NCCT)
V tomto nastavení sa úlohy robotov spúšťajú z riadiacich uzlov „Vrabca“ úrovne 3, smerujú sa cez servery úrovne 2 C2 a nakoniec sa doručujú robotom na úrovni 1, ktoré tvoria väčšinu siete botnetu.
Cieľové zariadenia zahŕňajú routery, IP kamery, DVR a NAS systémy od rôznych výrobcov, ako sú ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK a Zyxel.
Väčšina uzlov Tier 1 bola vysledovaná na miestach v USA, Taiwane, Vietname, Brazílii, Hong Kongu a Turecku. Každý uzol má priemernú životnosť 17,44 dňa, čo naznačuje, že aktér ohrozenia môže ľahko infikovať zariadenia kedykoľvek to bude potrebné.
Podrobnosti o reťazi útoku na vlak Raptor
V mnohých prípadoch operátori neimplementovali mechanizmus pretrvávania, ktorý prežije reštart. Pretrvávanie botnetu je však podporované širokou škálou exploitov dostupných pre rôzne zraniteľné zariadenia SOHO a IoT a veľký počet takýchto zariadení online, čo dáva Raptor Train akúsi „inherentnú“ vytrvalosť.
Uzly sú infikované implantátom v pamäti známym ako Nosedive, vlastným variantom botnetu Mirai, prostredníctvom serverov na úrovni 2, ktoré sú špeciálne nastavené na tento účel. Tento binárny súbor ELF umožňuje vykonávanie príkazov, nahrávanie a sťahovanie súborov a útoky DDoS.
Uzly úrovne 2 sa striedajú približne každých 75 dní a nachádzajú sa hlavne v USA, Singapure, Spojenom kráľovstve, Japonsku a Južnej Kórei. Počet uzlov C2 vzrástol z približne 1-5 medzi rokmi 2020 a 2022 na najmenej 60 medzi júnom a augustom 2024.
Tieto uzly úrovne 2 sú všestranné a slúžia nielen ako servery na využívanie a užitočné zaťaženie, ale tiež uľahčujú prieskum cieľových subjektov a začleňujú nové zariadenia do botnetu.
Boli odhalené viaceré útočné kampane na vlak Raptor
Od polovice roku 2020 boli s rozvíjajúcim sa botnetom Raptor Train spojené najmenej štyri rôzne kampane, z ktorých každá sa vyznačuje rôznymi koreňovými doménami a cielenými zariadeniami:
- Crossbill (máj 2020 až apríl 2022) – využívala koreňovú doménu C2 k3121.com a jej pridružené subdomény.
- Finch (júl 2022 až jún 2023) – používal koreňovú doménu C2 b2047.com a súvisiace subdomény C2.
- Canary (máj 2023 až august 2023) – používala sa aj koreňová doména C2 b2047.com a jej subdomény, ale spoliehalo sa na viacstupňové droppery.
- Oriole (jún 2023 až september 2024) – využívala koreňovú doménu C2 w8510.com a jej pridružené subdomény.
Kampaň Canary je obzvlášť pozoruhodná svojím zameraním na modemy ActionTec PK5000, IP kamery Hikvision, NVR Shenzhen TVT a routery ASUS. Vyznačuje sa viacvrstvovým infekčným reťazcom, ktorý najprv stiahne bash skript, ktorý sa potom pripojí k serveru užitočného zaťaženia úrovne 2, aby získal Nosedive a bash skript druhej fázy.
Úrady podnikli kroky proti vlaku Raptor a tajfúnu Flax
Ministerstvo spravodlivosti USA (DoJ) oznámilo odstránenie botnetu Raptor Train po súdom povolenej operácii presadzovania práva. Ministerstvo spravodlivosti spojilo aktéra hrozby Flax Typhoon s verejne obchodovanou spoločnosťou so sídlom v Pekingu s názvom Integrity Technology Group.
Táto malvérová sieť pripojila tisíce infikovaných zariadení k botnetu, ktorý spravuje Integrity Technology Group. Slúžil na vykonávanie hrozivých kybernetických aktivít maskovaných ako bežný internetový prenos z infikovaných zariadení.
Počas operácie sa orgány činné v trestnom konaní zmocnili infraštruktúry útočníkov a vydali príkazy na deaktiváciu malvéru na infikovaných zariadeniach. Aktéri hrozby sa pokúsili zabrániť tomuto úsiliu spustením DDoS útoku proti serverom, ktoré používa Federálny úrad pre vyšetrovanie (FBI) na vykonanie súdneho príkazu, ale tieto pokusy boli neúspešné.
Podľa DoJ spoločnosť Integrity Technology Group prevádzkovala online aplikáciu, ktorá umožňovala zákazníkom prihlásiť sa a ovládať napadnuté zariadenia. Táto aplikácia s názvom „KRLab“ a predávaná pod poprednou verejnou značkou Integrity Technology Group obsahovala nástroj s názvom „arzenál zraniteľností“ na vykonávanie škodlivých kybernetických príkazov.
Do júna 2024 sa botnet rozrástol na viac ako 260 000 zariadení, pričom obete sa nachádzali v Severnej Amerike (135 300), Európe (65 600), Ázii (50 400), Afrike (9 200), Oceánii (2 400) a Južnej Amerike (800).
Okrem toho sa v databáze MySQL hosťovanej na serveri na správu úrovne 3 našlo viac ako 1,2 milióna záznamov o napadnutých zariadeniach. Tento server spravovaný cez aplikáciu Sparrow slúžil na ovládanie botnetu a C2 serverov a obsahoval modul na využívanie počítačových sietí pomocou známych aj zero-day zraniteľností.
