Раптор Траин Ботнет
Истраживачи кибернетичке безбедности идентификовали су нови ботнет који се састоји од компромитованих уређаја мале канцеларије/кућне канцеларије (СОХО) и Интернет оф Тхингс (ИоТ). Верује се да овај ботнет контролише кинеска група за претње националних држава позната као Флак Типхоон, која се такође назива Етхереал Панда или РедЈулиетт.
Истраживачи су ботнет назвали 'Раптор Траин'. Активан је најмање од маја 2020. и достигао је врхунац од 60.000 компромитованих уређаја до јуна 2023.
До данас, Раптор Траин је отео преко 200.000 уређаја, укључујући СОХО рутере, НВР/ДВР системе, сервере за складиштење података који су повезани са мрежом (НАС) и ИП камере, што га чини једним од највећих ИоТ ботнет-а које спонзорише држава повезана са Кином. .
Преглед садржаја
Стручњаци процењују да је Раптор воз утицао на преко 200.000 уређаја
Верује се да је инфраструктура ботнета угрозила стотине хиљада уређаја од свог почетка. Ради користећи трослојну архитектуру:
Ниво 1: Компромитовани СОХО и ИоТ уређаји
Ниво 2: сервери за експлоатацију, сервери терета и сервери за команду и контролу (Ц2)
Ниво 3: Централизовани чворови за управљање и вишеплатформски интерфејс Елецтрон апликације познат као Спарров (такође назван Ноде Цомпрехенсиве Цонтрол Тоол, или НЦЦТ)
У овом подешавању, задаци ботова се покрећу из управљачких чворова „Врапца“ нивоа 3, рутирају се кроз сервере нивоа 2 Ц2 и на крају се испоручују ботовима у нивоу 1, који чине већину мреже ботнета.
Циљани уређаји укључују рутере, ИП камере, ДВР-ове и НАС системе различитих произвођача као што су АцтионТец, АСУС, ДраиТек, Фујитсу, Хиквисион, Микротик, Моботик, Панасониц, КНАП, Руцкус Вирелесс, Схензхен ТВТ, Синологи, Тенда, ТОТОЛИНК, ТП -ЛИНК и Зикел.
Већина чворова Тиер 1 је праћена на локацијама у САД, Тајвану, Вијетнаму, Бразилу, Хонг Конгу и Турској. Сваки чвор има просечан животни век од 17,44 дана, што сугерише да актер претње може лако поново инфицирати уређаје кад год је то потребно.
Детаљи о ланцу напада Раптор Траин
У многим случајевима, оператери нису имплементирали механизам постојаности који преживљава поновно покретање. Упорност ботнета је, међутим, подржана широким спектром експлоатација доступних за различите рањиве СОХО и ИоТ уређаје и великим бројем таквих уређаја на мрежи, дајући Раптор Траин-у неку врсту 'инхерентне' упорности.
Чворови су заражени имплантатом у меморији познатим као Носедиве, прилагођеном варијантом Мираи ботнета, преко Тиер 2 сервера корисног оптерећења посебно постављених за ову сврху. Ова ЕЛФ бинарна датотека омогућава извршавање команди, отпремање и преузимања датотека и ДДоС нападе.
Чворови нивоа 2 се ротирају отприлике сваких 75 дана и углавном се налазе у САД, Сингапуру, Великој Британији, Јапану и Јужној Кореји. Број Ц2 чворова је порастао са око 1-5 између 2020. и 2022. на најмање 60 између јуна и августа 2024.
Ови Тиер 2 чворови су разноврсни, служе не само као сервери за експлоатацију и корисни терет, већ и олакшавају извиђање циљаних ентитета и уграђују нове уређаје у ботнет.
Откривене су вишеструке кампање напада Раптор Траин-ом
Од средине 2020. године, најмање четири различите кампање су повезане са еволуирајућим ботнетом Раптор Траин, од којих свака карактерише различити основни домени и циљани уређаји:
- Цроссбилл (од маја 2020. до априла 2022.) – Користио је Ц2 основни домен к3121.цом и повезане поддомене.
- Финч (јул 2022 – јун 2023) – Запослио Ц2 основни домен б2047.цом и сродне Ц2 поддомене.
- Канарски (од маја 2023. до августа 2023.) – Такође је користио Ц2 основни домен б2047.цом и његове поддомене, али се ослањао на вишестепене испуштаче.
- Ориоле (јун 2023. до септембар 2024.) – Користио је Ц2 основни домен в8510.цом и повезане поддомене.
Цанари кампања је посебно вредна пажње по свом фокусу на АцтионТец ПК5000 модеме, Хиквисион ИП камере, Схензхен ТВТ НВР и АСУС рутере. Одликује се вишеслојним ланцем инфекције који прво преузима басх скрипту, која се затим повезује са сервером корисног оптерећења Тиер 2 да би дохватила Носедиве и басх скрипту друге фазе.
Власти предузимају мере против воза Раптор и ланеног тајфуна
Америчко министарство правде (ДоЈ) објавило је укидање ботнета Раптор Траин након судске операције за спровођење закона. Министарство правде је повезало актера претње из ланеног тајфуна са јавном компанијом са седиштем у Пекингу под називом Интегрити Тецхнологи Гроуп.
Ова мрежа злонамерног софтвера повезала је хиљаде заражених уређаја на ботнет којим управља Интегрити Тецхнологи Гроуп. Коришћен је за обављање претећих сајбер активности прерушених у редован интернет саобраћај са заражених уређаја.
Током операције, органи за спровођење закона запленили су инфраструктуру нападача и издали команде за онемогућавање малвера на зараженим уређајима. Актери претњи су покушали да ометају овај напор покретањем ДДоС напада на сервере које је користио Федерални истражни биро (ФБИ) за извршење судског налога, али ти покушаји су били неуспешни.
Према ДоЈ, Интегрити Тецхнологи Гроуп је управљала онлајн апликацијом која је омогућавала корисницима да се пријаве и контролишу компромитоване уређаје. Ова апликација, названа 'КРЛаб' и пласирана под водећим јавним брендом Интегрити Тецхнологи Гроуп, укључивала је алат под називом 'арсенал рањивости' за извршавање штетних сајбер команди.
До јуна 2024. ботнет је нарастао на преко 260.000 уређаја, а жртве су се налазиле у Северној Америци (135.300), Европи (65.600), Азији (50.400), Африци (9.200), Океанији (2.400) и Јужној Америци (800).
Поред тога, преко 1,2 милиона записа компромитованих уређаја пронађено је у МиСКЛ бази података која се налази на серверу за управљање Тиер 3. Овим сервером се управља преко апликације Спарров, коришћен је за контролу ботнет и Ц2 сервера и укључивао је модул за искоришћавање рачунарских мрежа користећи познате и рањивости нултог дана.
