Botnet Raptor Train
Raziskovalci kibernetske varnosti so odkrili nov botnet, ki ga sestavljajo ogrožene naprave za male pisarne/domače pisarne (SOHO) in internet stvari (IoT). Domneva se, da ta botnet nadzoruje skupina groženj kitajske nacionalne države, znana kot Flax Typhoon, imenovana tudi Ethereal Panda ali RedJuliett.
Raziskovalci so botnet poimenovali 'Raptor Train'. Aktiven je vsaj od maja 2020 in je do junija 2023 dosegel vrh 60.000 ogroženih naprav.
Do danes je Raptor Train ugrabil več kot 200.000 naprav, vključno z usmerjevalniki SOHO, sistemi NVR/DVR, strežniki za omrežno shranjevanje (NAS) in kamerami IP, zaradi česar je eden največjih botnetov IoT, ki jih sponzorira država, povezanih s Kitajsko. .
Kazalo
Strokovnjaki ocenjujejo, da je vlak Raptor prizadel več kot 200.000 naprav
Infrastruktura botneta naj bi od svojega začetka ogrozila na sto tisoče naprav. Deluje po trinivojski arhitekturi:
Stopnja 1: ogrožene naprave SOHO in IoT
Stopnja 2: strežniki za izkoriščanje, strežniki koristnega tovora in strežniki za ukazovanje in nadzor (C2)
Stopnja 3: Centralizirana upravljalna vozlišča in večplatformni aplikacijski vmesnik Electron, znan kot Sparrow (imenovan tudi Node Comprehensive Control Tool ali NCCT)
Pri tej nastavitvi se naloge botov sprožijo iz upravljalnih vozlišč 'Sparrow' ravni 3, preusmerijo se prek strežnikov C2 stopnje 2 in se na koncu dostavijo botom na ravni 1, ki tvorijo večino omrežja botneta.
Ciljne naprave vključujejo usmerjevalnike, kamere IP, DVR-je in sisteme NAS različnih proizvajalcev, kot so ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK in Zyxel.
Večina vozlišč stopnje 1 je bila izsledena na lokacijah v ZDA, Tajvanu, Vietnamu, Braziliji, Hong Kongu in Turčiji. Vsako vozlišče ima povprečno življenjsko dobo 17,44 dni, kar nakazuje, da lahko povzročitelj grožnje preprosto znova okuži naprave, kadar koli je to potrebno.
Podrobnosti o verigi napada Raptor Train Attack Chain
V mnogih primerih operaterji niso implementirali mehanizma vztrajnosti, ki preživi ponovni zagon. Vztrajnost botneta pa podpira obsežen nabor izkoriščanj, ki so na voljo za različne ranljive naprave SOHO in IoT, ter veliko število takšnih naprav na spletu, kar daje Raptor Train nekakšno 'inherentno' obstojnost.
Vozlišča so okužena z vsadkom v pomnilniku, znanim kot Nosedive, prilagojeno različico botneta Mirai, prek strežnikov koristne obremenitve stopnje 2, posebej nastavljenih za ta namen. Ta dvojiška datoteka ELF omogoča izvajanje ukazov, nalaganje in prenos datotek ter napade DDoS.
Vozlišča stopnje 2 se zamenjajo približno vsakih 75 dni in so večinoma v ZDA, Singapurju, Združenem kraljestvu, na Japonskem in v Južni Koreji. Število vozlišč C2 je naraslo s približno 1-5 med letoma 2020 in 2022 na vsaj 60 med junijem in avgustom 2024.
Ta vozlišča stopnje 2 so vsestranska, saj ne služijo le kot strežniki za izkoriščanje in koristne obremenitve, ampak tudi olajšajo izvidovanje ciljnih entitet in vključevanje novih naprav v botnet.
Odkritih je bilo več napadov z vlakom Raptor
Od sredine leta 2020 so bile z razvijajočim se botnetom Raptor Train povezane vsaj štiri različne kampanje, od katerih so za vsako značilne različne korenske domene in ciljne naprave:
- Crossbill (maj 2020 do april 2022) – Uporabljena korenska domena C2 k3121.com in z njo povezane poddomene.
- Finch (julij 2022 do junij 2023) – Uporabil je korensko domeno C2 b2047.com in povezane poddomene C2.
- Canary (maj 2023 do avgust 2023) – uporabljal je tudi korensko domeno C2 b2047.com in njene poddomene, vendar se je zanašal na večstopenjske kapalke.
- Oriole (od junija 2023 do septembra 2024) – Uporabljena korenska domena C2 w8510.com in z njo povezane poddomene.
Kampanja Canary je še posebej omembe vredna zaradi osredotočenosti na modeme ActionTec PK5000, kamere IP Hikvision, NVR-je Shenzhen TVT in usmerjevalnike ASUS. Odlikuje ga večplastna veriga okužb, ki najprej prenese skript bash, ki se nato poveže s strežnikom koristne obremenitve stopnje 2, da pridobi Nosedive in skript bash druge stopnje.
Oblasti ukrepajo proti Raptor Train in Flax Typhoon
Ministrstvo za pravosodje ZDA (DoJ) je objavilo odstranitev botneta Raptor Train po operaciji kazenskega pregona, ki jo je odobrilo sodišče. Ministrstvo za pravosodje je akterja grožnje Flax Typhoon povezalo z javnim podjetjem s sedežem v Pekingu, imenovanim Integrity Technology Group.
To omrežje zlonamerne programske opreme je na tisoče okuženih naprav povezalo z botnetom, ki ga upravlja Integrity Technology Group. Uporabljali so ga za izvajanje grozečih kibernetskih dejavnosti, prikritih kot običajni internetni promet iz okuženih naprav.
Med operacijo so organi pregona zasegli infrastrukturo napadalcev in zlonamerni programski opremi na okuženih napravah izdali ukaze za onemogočanje. Akterji groženj so poskušali ovirati ta prizadevanja z uvedbo napada DDoS na strežnike, ki jih uporablja Zvezni preiskovalni urad (FBI) za izvršitev sodne odredbe, vendar ti poskusi niso bili uspešni.
Po navedbah Ministrstva za pravosodje je Integrity Technology Group upravljala spletno aplikacijo, ki je strankam omogočala prijavo in nadzor ogroženih naprav. Ta aplikacija, imenovana 'KRLab' in tržena pod vodilno javno blagovno znamko Integrity Technology Group, je vključevala orodje, imenovano 'arzenal ranljivosti' za izvajanje škodljivih kibernetskih ukazov.
Do junija 2024 je botnet narasel na več kot 260.000 naprav, žrtve pa so bile v Severni Ameriki (135.300), Evropi (65.600), Aziji (50.400), Afriki (9.200), Oceaniji (2.400) in Južni Ameriki (800).
Poleg tega je bilo najdenih več kot 1,2 milijona zapisov o ogroženih napravah v bazi podatkov MySQL, ki gostuje na strežniku za upravljanje stopnje 3. Ta strežnik, upravljan prek aplikacije Sparrow, je bil uporabljen za nadzor botneta in strežnikov C2 ter je vključeval modul za izkoriščanje računalniških omrežij z uporabo tako znanih kot zero-day ranljivosti.
