Raptor Train Botnet

சமரசம் செய்யப்பட்ட சிறிய அலுவலகம்/வீட்டு அலுவலகம் (SOHO) மற்றும் இன்டர்நெட் ஆஃப் திங்ஸ் (IoT) சாதனங்களைக் கொண்ட புதிய போட்நெட்டை சைபர் பாதுகாப்பு ஆராய்ச்சியாளர்கள் கண்டறிந்துள்ளனர். இந்த பாட்நெட் ஃப்ளாக்ஸ் டைபூன் எனப்படும் சீன தேசிய-அரசு அச்சுறுத்தல் குழுவால் கட்டுப்படுத்தப்படுவதாக நம்பப்படுகிறது, இது எத்தரியல் பாண்டா அல்லது ரெட்ஜூலியட் என்றும் குறிப்பிடப்படுகிறது.

ஆராய்ச்சியாளர்கள் பாட்நெட்டுக்கு 'ராப்டார் ரயில்' என்று பெயரிட்டுள்ளனர். இது குறைந்தபட்சம் மே 2020 முதல் செயலில் உள்ளது மற்றும் ஜூன் 2023க்குள் 60,000 சமரசம் செய்யப்பட்ட சாதனங்களின் உச்சத்தை எட்டியது.

இன்றுவரை, SOHO ரவுட்டர்கள், NVR/DVR அமைப்புகள், நெட்வொர்க்-இணைக்கப்பட்ட சேமிப்பு (NAS) சர்வர்கள் மற்றும் IP கேமராக்கள் உட்பட 200,000 க்கும் மேற்பட்ட சாதனங்கள் ராப்டார் ட்ரெயினால் கடத்தப்பட்டுள்ளன, இது சீனாவுடன் இணைக்கப்பட்ட மிகப்பெரிய அரசு நிதியுதவி IoT போட்நெட்டுகளில் ஒன்றாகும். .

வல்லுநர்கள் ராப்டார் ரயில் 200,000 சாதனங்களை பாதித்துள்ளதாக மதிப்பிடுகின்றனர்

பாட்நெட்டின் உள்கட்டமைப்பு அதன் தொடக்கத்திலிருந்து நூறாயிரக்கணக்கான சாதனங்களை சமரசம் செய்ததாக நம்பப்படுகிறது. இது மூன்று அடுக்கு கட்டமைப்பைப் பயன்படுத்தி செயல்படுகிறது:

அடுக்கு 1: சமரசம் செய்யப்பட்ட SOHO மற்றும் IoT சாதனங்கள்

அடுக்கு 2: சுரண்டல் சர்வர்கள், பேலோட் சர்வர்கள் மற்றும் கட்டளை மற்றும் கட்டுப்பாடு (C2) சர்வர்கள்

அடுக்கு 3: மையப்படுத்தப்பட்ட மேலாண்மை முனைகள் மற்றும் குறுக்கு-தளம் எலக்ட்ரான் பயன்பாட்டு இடைமுகம் குருவி (நோட் விரிவான கட்டுப்பாட்டு கருவி அல்லது NCCT என்றும் அழைக்கப்படுகிறது)

இந்த அமைப்பில், பாட் பணிகள் டயர் 3 'ஸ்பாரோ' மேனேஜ்மென்ட் நோட்களில் இருந்து தொடங்கப்பட்டு, டயர் 2 சி2 சர்வர்கள் மூலம் அனுப்பப்பட்டு, இறுதியில் டையர் 1ல் உள்ள போட்களுக்கு வழங்கப்படும், இது போட்நெட்டின் நெட்வொர்க்கின் பெரும்பகுதியை உருவாக்குகிறது.

இலக்கு வைக்கப்பட்ட சாதனங்களில் ஆக்‌ஷன்டெக், ஆசஸ், டிரேடெக், புஜிட்சு, ஹிக்விஷன், மைக்ரோடிக், மொபோடிக்ஸ், பானாசோனிக், க்யூஎன்ஏபி, ரக்கஸ் வயர்லெஸ், ஷென்சென் டிவிடி, சைனாலஜி, டெண்டா, டிபி டோடோலிங் போன்ற பல்வேறு உற்பத்தியாளர்களிடமிருந்து ரவுட்டர்கள், ஐபி கேமராக்கள், டிவிஆர்கள் மற்றும் என்ஏஎஸ் அமைப்புகள் அடங்கும். -LINK மற்றும் Zyxel.

பெரும்பாலான அடுக்கு 1 முனைகள் அமெரிக்கா, தைவான், வியட்நாம், பிரேசில், ஹாங்காங் மற்றும் துருக்கி ஆகிய இடங்களில் கண்டறியப்பட்டுள்ளன. ஒவ்வொரு முனைக்கும் சராசரியாக 17.44 நாட்கள் ஆயுட்காலம் உள்ளது, இது தேவைப்படும் போதெல்லாம் சாதனங்களை அச்சுறுத்தும் நடிகர் எளிதாக மறுதொடக்கம் செய்ய முடியும் என்று பரிந்துரைக்கிறது.

ராப்டார் ரயில் தாக்குதல் சங்கிலி பற்றிய விவரங்கள்

பல சமயங்களில், ஆபரேட்டர்கள் மறுதொடக்கத்தில் உயிர்வாழும் ஒரு நிலைத்தன்மை பொறிமுறையை செயல்படுத்தவில்லை. எவ்வாறாயினும், பாட்நெட்டின் நிலைத்தன்மையானது பல்வேறு பாதிக்கப்படக்கூடிய SOHO மற்றும் IoT சாதனங்களுக்குக் கிடைக்கும் பரந்த அளவிலான சுரண்டல்களால் ஆதரிக்கப்படுகிறது மற்றும் அதிக எண்ணிக்கையிலான சாதனங்கள் ஆன்லைனில் உள்ளது, இது ராப்டார் ட்ரெயினுக்கு ஒரு வகையான 'உள்ளார்ந்த' நிலைத்தன்மையை அளிக்கிறது.

இந்த நோக்கத்திற்காக பிரத்யேகமாக அமைக்கப்பட்ட அடுக்கு 2 பேலோட் சர்வர்கள் மூலம், Mirai botnet இன் தனிப்பயன் மாறுபாடான Nosedive எனப்படும் இன்-மெமரி இம்ப்லாண்ட் மூலம் கணுக்கள் பாதிக்கப்பட்டுள்ளன. இந்த ELF பைனரி கட்டளை செயல்படுத்தல், கோப்பு பதிவேற்றங்கள் மற்றும் பதிவிறக்கங்கள் மற்றும் DDoS தாக்குதல்களை அனுமதிக்கிறது.

அடுக்கு 2 முனைகள் தோராயமாக ஒவ்வொரு 75 நாட்களுக்கும் சுழற்றப்படுகின்றன, மேலும் அவை முக்கியமாக அமெரிக்கா, சிங்கப்பூர், இங்கிலாந்து, ஜப்பான் மற்றும் தென் கொரியாவில் அமைந்துள்ளன. C2 முனைகளின் எண்ணிக்கை 2020 மற்றும் 2022 க்கு இடையில் சுமார் 1-5 இல் இருந்து ஜூன் மற்றும் ஆகஸ்ட் 2024 க்கு இடையில் குறைந்தது 60 ஆக அதிகரித்துள்ளது.

இந்த அடுக்கு 2 முனைகள் பன்முகத்தன்மை கொண்டவை, சுரண்டல் மற்றும் பேலோட் சேவையகங்களாக மட்டுமல்லாமல், இலக்கு வைக்கப்பட்ட நிறுவனங்களின் உளவு பார்க்கவும் மற்றும் புதிய சாதனங்களை பாட்நெட்டில் இணைப்பதற்கும் உதவுகின்றன.

பல ராப்டார் ரயில் தாக்குதல் பிரச்சாரங்கள் வெளிப்படுத்தப்பட்டுள்ளன

2020 ஆம் ஆண்டின் நடுப்பகுதியில் இருந்து, குறைந்தபட்சம் நான்கு தனித்துவமான பிரச்சாரங்கள் உருவாகி வரும் Raptor Train botnet உடன் தொடர்புபடுத்தப்பட்டுள்ளன, ஒவ்வொன்றும் வெவ்வேறு ரூட் டொமைன்கள் மற்றும் இலக்கு சாதனங்களால் வகைப்படுத்தப்படுகின்றன:

• கிராஸ்பில் (மே 2020 முதல் ஏப்ரல் 2022 வரை) - C2 ரூட் டொமைன் k3121.com மற்றும் அதனுடன் தொடர்புடைய துணை டொமைன்களைப் பயன்படுத்தியது.
• Finch (ஜூலை 2022 முதல் ஜூன் 2023 வரை) - C2 ரூட் டொமைன் b2047.com மற்றும் தொடர்புடைய C2 துணை டொமைன்களைப் பயன்படுத்தியது.
• கேனரி (மே 2023 முதல் ஆகஸ்ட் 2023 வரை) - C2 ரூட் டொமைன் b2047.com மற்றும் அதன் துணை டொமைன்களையும் பயன்படுத்தியது, ஆனால் பல-நிலை டிராப்பர்களை நம்பியுள்ளது.
• ஓரியோல் (ஜூன் 2023 முதல் செப்டம்பர் 2024 வரை) - C2 ரூட் டொமைன் w8510.com மற்றும் அதனுடன் தொடர்புடைய துணை டொமைன்களைப் பயன்படுத்தியது.

கேனரி பிரச்சாரம் குறிப்பாக ActionTec PK5000 மோடம்கள், Hikvision IP கேமராக்கள், Shenzhen TVT NVRகள் மற்றும் ASUS ரவுட்டர்கள் ஆகியவற்றில் கவனம் செலுத்துவது குறிப்பிடத்தக்கது. இது பல அடுக்கு தொற்று சங்கிலியால் வேறுபடுகிறது, இது முதலில் ஒரு பாஷ் ஸ்கிரிப்டைப் பதிவிறக்குகிறது, பின்னர் அது Nosedive மற்றும் இரண்டாம்-நிலை பாஷ் ஸ்கிரிப்டைப் பெற ஒரு அடுக்கு 2 பேலோட் சேவையகத்துடன் இணைக்கிறது.

ராப்டார் ரயில் மற்றும் ஃப்ளாக்ஸ் டைபூன் மீது அதிகாரிகள் நடவடிக்கை எடுக்கின்றனர்

நீதிமன்றத்தால் அங்கீகரிக்கப்பட்ட சட்ட அமலாக்க நடவடிக்கையைத் தொடர்ந்து ராப்டார் ரயில் பாட்நெட்டை அகற்றுவதாக அமெரிக்க நீதித்துறை (DoJ) அறிவித்துள்ளது. DoJ, Flax Typhoon அச்சுறுத்தல் நடிகரை, Integrity Technology Group எனப்படும் பெய்ஜிங்கை தளமாகக் கொண்ட பொது வர்த்தக நிறுவனத்துடன் இணைத்துள்ளது.

இந்த மால்வேர் நெட்வொர்க் பாதிக்கப்பட்ட ஆயிரக்கணக்கான சாதனங்களை இன்டெக்ரிட்டி டெக்னாலஜி குழுவால் நிர்வகிக்கப்படும் பாட்நெட்டுடன் இணைத்தது. பாதிக்கப்பட்ட சாதனங்களிலிருந்து வழக்கமான இணையப் போக்குவரத்தைப் போல மாறுவேடமிட்டு அச்சுறுத்தும் சைபர் நடவடிக்கைகளை மேற்கொள்ள இது பயன்படுத்தப்பட்டது.

செயல்பாட்டின் போது, சட்ட அமலாக்கம் தாக்குபவர்களின் உள்கட்டமைப்பைக் கைப்பற்றியது மற்றும் பாதிக்கப்பட்ட சாதனங்களில் தீம்பொருளுக்கு முடக்கும் கட்டளைகளை வழங்கியது. நீதிமன்ற உத்தரவை நிறைவேற்றுவதற்காக பெடரல் பீரோ ஆஃப் இன்வெஸ்டிகேஷன் (FBI) பயன்படுத்தும் சர்வர்களுக்கு எதிராக DDoS தாக்குதலை நடத்துவதன் மூலம் அச்சுறுத்தல் நடிகர்கள் இந்த முயற்சியைத் தடுக்க முயன்றனர், ஆனால் இந்த முயற்சிகள் தோல்வியடைந்தன.

DoJ இன் கூற்றுப்படி, ஒருங்கிணைப்பு தொழில்நுட்பக் குழு ஒரு ஆன்லைன் பயன்பாட்டை இயக்கியது, இது வாடிக்கையாளர்களை உள்நுழையவும் சமரசம் செய்யப்பட்ட சாதனங்களைக் கட்டுப்படுத்தவும் அனுமதிக்கிறது. இந்த பயன்பாடு, 'KRLab' என்று பெயரிடப்பட்டு, ஒருமைப்பாடு தொழில்நுட்பக் குழுமத்தின் முன்னணி பொது பிராண்டின் கீழ் சந்தைப்படுத்தப்பட்டது, தீங்கு விளைவிக்கும் இணைய கட்டளைகளை செயல்படுத்துவதற்கான 'vulnerability-arsenal' என்ற கருவியை உள்ளடக்கியது.

ஜூன் 2024 வாக்கில், வட அமெரிக்கா (135,300), ஐரோப்பா (65,600), ஆசியா (50,400), ஆப்பிரிக்கா (9,200), ஓசியானியா (2,400) மற்றும் தென் அமெரிக்கா (800) ஆகியவற்றில் பாதிக்கப்பட்டவர்களுடன் 260,000 சாதனங்களுக்கு மேல் பாட்நெட் வளர்ந்தது.

கூடுதலாக, சமரசம் செய்யப்பட்ட சாதனங்களின் 1.2 மில்லியனுக்கும் அதிகமான பதிவுகள் அடுக்கு 3 மேலாண்மை சேவையகத்தில் ஹோஸ்ட் செய்யப்பட்ட MySQL தரவுத்தளத்தில் காணப்பட்டன. ஸ்பாரோ அப்ளிகேஷன் மூலம் நிர்வகிக்கப்படும் இந்த சர்வர், பாட்நெட் மற்றும் சி2 சர்வர்களைக் கட்டுப்படுத்தப் பயன்படுத்தப்பட்டது மற்றும் அறியப்பட்ட மற்றும் பூஜ்ஜிய நாள் பாதிப்புகளைப் பயன்படுத்தி கணினி நெட்வொர்க்குகளைப் பயன்படுத்துவதற்கான ஒரு தொகுதியையும் உள்ளடக்கியது.