Raptor Train Botnet
Studiuesit e sigurisë kibernetike kanë identifikuar një botnet të ri të përbërë nga pajisje të komprometuara për zyra/zyre shtëpiake (SOHO) dhe Internet of Things (IoT). Ky botnet besohet se kontrollohet nga një grup kërcënimi i një shteti kombëtar kinez të njohur si Flax Typhoon, i referuar gjithashtu si Ethereal Panda ose RedJuliett.
Studiuesit e quajtën botnetin 'Raptor Train'. Ka qenë aktiv të paktën që nga maji 2020 dhe arriti një kulm prej 60,000 pajisjesh të komprometuara deri në qershor 2023.
Deri më sot, mbi 200,000 pajisje, duke përfshirë ruterat SOHO, sistemet NVR/DVR, serverët e ruajtjes së bashkangjitur në rrjet (NAS) dhe kamerat IP, janë rrëmbyer nga Raptor Train, duke e bërë atë një nga botnet-et më të mëdhenj të IoT të sponsorizuar nga shteti të lidhur me Kinën. .
Tabela e Përmbajtjes
Ekspertët vlerësojnë se treni Raptor do të ketë prekur mbi 200,000 pajisje
Infrastruktura e botnet-it besohet se ka komprometuar qindra mijëra pajisje që nga fillimi i tij. Ajo funksionon duke përdorur një arkitekturë me tre nivele:
Niveli 1: Pajisjet SOHO dhe IoT të komprometuara
Niveli 2: Serverët e shfrytëzimit, serverët e ngarkesës dhe serverët e komandës dhe kontrollit (C2)
Niveli 3: Nyjet e centralizuara të menaxhimit dhe një ndërfaqe e aplikacionit Electron ndër-platformë e njohur si Sparrow (i quajtur edhe Mjeti Gjithëpërfshirës i Kontrollit të Nyjeve, ose NCCT)
Në këtë konfigurim, detyrat e bot-it inicohen nga nyjet e menaxhimit të nivelit 3 'Sparrow', drejtohen përmes serverëve të nivelit 2 C2 dhe përfundimisht u dorëzohen robotëve në Nivelin 1, të cilët formojnë shumicën e rrjetit të botnet-it.
Pajisjet e synuara përfshijnë ruterat, kamerat IP, DVR dhe sistemet NAS nga prodhues të ndryshëm si ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK dhe Zyxel.
Shumica e nyjeve të nivelit 1 janë gjurmuar në vendndodhje në SHBA, Tajvan, Vietnam, Brazil, Hong Kong dhe Turqi. Çdo nyje ka një jetëgjatësi mesatare prej 17,44 ditësh, duke sugjeruar që aktori i kërcënimit mund t'i riinfektojë lehtësisht pajisjet sa herë që nevojitet.
Detaje rreth zinxhirit të sulmit me tren Raptor
Në shumë raste, operatorët nuk zbatuan një mekanizëm të qëndrueshmërisë që i mbijeton një rindezjeje. Këmbëngulja e botnet-it, megjithatë, mbështetet nga gamën e gjerë të shfrytëzimeve të disponueshme për pajisje të ndryshme të cenueshme SOHO dhe IoT dhe numri i madh i pajisjeve të tilla në internet, duke i dhënë Raptor Train një lloj qëndrueshmërie 'të qenësishme'.
Nyjet janë të infektuara me një implant në memorie të njohur si Nosedive, një variant i personalizuar i botnet-it Mirai, përmes serverëve të ngarkesës së nivelit 2 të krijuar posaçërisht për këtë qëllim. Ky binar ELF lejon ekzekutimin e komandave, ngarkimet dhe shkarkimet e skedarëve dhe sulmet DDoS.
Nyjet e nivelit 2 rrotullohen afërsisht çdo 75 ditë dhe ndodhen kryesisht në SHBA, Singapor, MB, Japoni dhe Korenë e Jugut. Numri i nyjeve C2 është rritur nga rreth 1-5 midis 2020 dhe 2022 në të paktën 60 midis qershorit dhe gushtit 2024.
Këto nyje të nivelit 2 janë të gjithanshme, duke shërbyer jo vetëm si serverë të shfrytëzimit dhe ngarkesës, por gjithashtu lehtësojnë zbulimin e entiteteve të synuara dhe duke përfshirë pajisje të reja në botnet.
Janë zbuluar fushata të shumta të sulmeve me tren Raptor
Që nga mesi i vitit 2020, të paktën katër fushata të ndryshme janë shoqëruar me botnetin në zhvillim Raptor Train, secila e karakterizuar nga domene të ndryshme rrënjësore dhe pajisje të synuara:
- Crossbill (maj 2020 deri në prill 2022) - Përdori domenin rrënjësor C2 k3121.com dhe nënfushat e lidhura me të.
- Finch (korrik 2022 deri në qershor 2023) - Përdori domenin rrënjësor C2 b2047.com dhe nënfushat C2 përkatës.
- Canary (maj 2023 deri në gusht 2023) - Përdori gjithashtu domenin rrënjësor C2 b2047.com dhe nëndomenet e tij, por mbështetej në pikatore me shumë faza.
- Oriole (qershor 2023 deri në shtator 2024) - Përdori domenin rrënjësor C2 w8510.com dhe nënfushat e lidhura me të.
Fushata Canary është veçanërisht e rëndësishme për fokusin e saj në modemet ActionTec PK5000, kamerat IP Hikvision, NVR-të Shenzhen TVT dhe ruterat ASUS. Ai dallohet nga një zinxhir infeksioni me shumë shtresa që së pari shkarkon një skrip bash, i cili më pas lidhet me një server të ngarkesës së nivelit 2 për të marrë Nosedive dhe një skript bash të fazës së dytë.
Autoritetet marrin masa kundër trenit Raptor dhe tajfunit të lirit
Departamenti Amerikan i Drejtësisë (DoJ) ka njoftuar heqjen e botnet-it Raptor Train pas një operacioni të zbatimit të ligjit të autorizuar nga gjykata. DoJ e ka lidhur aktorin e kërcënimit të Flax Typhoon me një kompani publike me bazë në Pekin të quajtur Integrity Technology Group.
Ky rrjet malware lidhi mijëra pajisje të infektuara me një botnet të menaxhuar nga Integrity Technology Group. Ai u përdor për të kryer aktivitete kërcënuese kibernetike të maskuara si trafik i rregullt në internet nga pajisjet e infektuara.
Gjatë operacionit, forcat e rendit kapën infrastrukturën e sulmuesve dhe lëshuan komanda për çaktivizimin e malware në pajisjet e infektuara. Aktorët e kërcënimit u përpoqën të pengonin këtë përpjekje duke nisur një sulm DDoS kundër serverëve të përdorur nga Byroja Federale e Hetimit (FBI) për të ekzekutuar urdhrin e gjykatës, por këto përpjekje ishin të pasuksesshme.
Sipas DD, Integrity Technology Group operoi një aplikacion në internet që lejonte klientët të identifikoheshin dhe të kontrollonin pajisjet e komprometuara. Ky aplikacion, i quajtur "KRLab" dhe i tregtuar nën markën kryesore publike të Integrity Technology Group, përfshinte një mjet të quajtur "vulnerability-arsenal" për ekzekutimin e komandave të dëmshme kibernetike.
Deri në qershor 2024, botnet ishte rritur në mbi 260,000 pajisje, me viktima të vendosura në Amerikën e Veriut (135,300), Evropë (65,600), Azi (50,400), Afrikë (9,200), Oqeani (2,400) dhe Amerikën e Jugut (800).
Për më tepër, mbi 1.2 milion regjistrime të pajisjeve të komprometuara u gjetën në një bazë të dhënash MySQL të vendosur në një server të menaxhimit të nivelit 3. Ky server i menaxhuar përmes aplikacionit Sparrow, u përdor për të kontrolluar serverët botnet dhe C2 dhe përfshinte një modul për shfrytëzimin e rrjeteve kompjuterike duke përdorur dobësitë e njohura dhe ato të ditës zero.