Raptor Train Botnet
సైబర్ సెక్యూరిటీ పరిశోధకులు రాజీపడిన చిన్న కార్యాలయం/హోమ్ ఆఫీస్ (SOHO) మరియు ఇంటర్నెట్ ఆఫ్ థింగ్స్ (IoT) పరికరాలతో కూడిన కొత్త బోట్నెట్ను గుర్తించారు. ఈ బోట్నెట్ ఫ్లాక్స్ టైఫూన్ అని పిలువబడే చైనీస్ దేశ-రాష్ట్ర ముప్పు సమూహంచే నియంత్రించబడుతుందని నమ్ముతారు, దీనిని ఎథెరియల్ పాండా లేదా రెడ్జూలియట్ అని కూడా పిలుస్తారు.
పరిశోధకులు ఈ బోట్నెట్కు 'రాప్టర్ రైలు' అని పేరు పెట్టారు. ఇది కనీసం మే 2020 నుండి సక్రియంగా ఉంది మరియు జూన్ 2023 నాటికి 60,000 రాజీ పరికరాల గరిష్ట స్థాయికి చేరుకుంది.
ఇప్పటి వరకు, SOHO రూటర్లు, NVR/DVR సిస్టమ్లు, నెట్వర్క్-అటాచ్డ్ స్టోరేజ్ (NAS) సర్వర్లు మరియు IP కెమెరాలతో సహా 200,000 కంటే ఎక్కువ పరికరాలు రాప్టర్ రైలు ద్వారా హైజాక్ చేయబడ్డాయి, ఇది చైనాకు లింక్ చేయబడిన అతిపెద్ద రాష్ట్ర-ప్రాయోజిత IoT బోట్నెట్లలో ఒకటిగా నిలిచింది. .
విషయ సూచిక
రాప్టర్ రైలు 200,000 కంటే ఎక్కువ పరికరాలను ప్రభావితం చేసిందని నిపుణులు అంచనా వేస్తున్నారు
బోట్నెట్ యొక్క అవస్థాపన దాని ఆరంభం నుండి వందల వేల పరికరాలను రాజీ చేసిందని నమ్ముతారు. ఇది మూడు-అంచెల నిర్మాణాన్ని ఉపయోగించి పనిచేస్తుంది:
టైర్ 1: రాజీపడిన SOHO మరియు IoT పరికరాలు
టైర్ 2: దోపిడీ సర్వర్లు, పేలోడ్ సర్వర్లు మరియు కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్లు
టైర్ 3: కేంద్రీకృత నిర్వహణ నోడ్లు మరియు స్పారో అని పిలువబడే క్రాస్-ప్లాట్ఫారమ్ ఎలక్ట్రాన్ అప్లికేషన్ ఇంటర్ఫేస్ (దీనినే నోడ్ కాంప్రహెన్సివ్ కంట్రోల్ టూల్ లేదా NCCT అని కూడా పిలుస్తారు)
ఈ సెటప్లో, బోట్ టాస్క్లు టైర్ 3 'స్పారో' మేనేజ్మెంట్ నోడ్ల నుండి ప్రారంభించబడతాయి, టైర్ 2 C2 సర్వర్ల ద్వారా మళ్లించబడతాయి మరియు చివరికి బోట్నెట్ నెట్వర్క్లో ఎక్కువ భాగం ఉండే టైర్ 1లోని బాట్లకు పంపిణీ చేయబడతాయి.
లక్షిత పరికరాలలో ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TP TOTOLINK వంటి వివిధ తయారీదారుల నుండి రౌటర్లు, IP కెమెరాలు, DVRలు మరియు NAS సిస్టమ్లు ఉన్నాయి. -LINK మరియు Zyxel.
టైర్ 1 నోడ్లలో ఎక్కువ భాగం US, తైవాన్, వియత్నాం, బ్రెజిల్, హాంకాంగ్ మరియు టర్కీలోని స్థానాలకు గుర్తించబడ్డాయి. ప్రతి నోడ్కు సగటు జీవితకాలం 17.44 రోజులు ఉంటుంది, అవసరమైనప్పుడు థ్రెట్ యాక్టర్ పరికరాలను సులభంగా మళ్లీ ఇన్ఫెక్ట్ చేయవచ్చని సూచిస్తుంది.
రాప్టర్ ట్రైన్ అటాక్ చైన్ గురించిన వివరాలు
అనేక సందర్భాల్లో, ఆపరేటర్లు రీబూట్లో మనుగడ సాగించే పెర్సిస్టెన్స్ మెకానిజంను అమలు చేయలేదు. అయితే, బోట్నెట్ యొక్క పట్టుదలకు, వివిధ హాని కలిగించే SOHO మరియు IoT పరికరాల కోసం అందుబాటులో ఉన్న విస్తృతమైన దోపిడీలు మరియు ఆన్లైన్లో పెద్ద సంఖ్యలో ఉన్న అటువంటి పరికరాలు, రాప్టర్ ట్రైన్కి ఒక విధమైన 'స్వభావిక' పట్టుదలను అందిస్తాయి.
ఈ ప్రయోజనం కోసం ప్రత్యేకంగా ఏర్పాటు చేయబడిన టైర్ 2 పేలోడ్ సర్వర్ల ద్వారా మిరాయ్ బోట్నెట్ యొక్క కస్టమ్ వేరియంట్ అయిన నోస్డైవ్ అని పిలువబడే ఇన్-మెమరీ ఇంప్లాంట్తో నోడ్లు సంక్రమించాయి. ఈ ELF బైనరీ కమాండ్ ఎగ్జిక్యూషన్, ఫైల్ అప్లోడ్లు మరియు డౌన్లోడ్లు మరియు DDoS దాడులను అనుమతిస్తుంది.
టైర్ 2 నోడ్లు దాదాపు ప్రతి 75 రోజులకు తిప్పబడతాయి మరియు ఇవి ప్రధానంగా US, సింగపూర్, UK, జపాన్ మరియు దక్షిణ కొరియాలో ఉన్నాయి. C2 నోడ్ల సంఖ్య 2020 మరియు 2022 మధ్య దాదాపు 1-5 నుండి జూన్ మరియు ఆగస్టు 2024 మధ్య కనీసం 60కి పెరిగింది.
ఈ టైర్ 2 నోడ్లు బహుముఖమైనవి, దోపిడీ మరియు పేలోడ్ సర్వర్ల వలె మాత్రమే కాకుండా లక్ష్య సంస్థల యొక్క నిఘాను సులభతరం చేయడం మరియు బోట్నెట్లో కొత్త పరికరాలను చేర్చడం.
బహుళ రాప్టర్ రైలు దాడి ప్రచారాలు బయటపడ్డాయి
2020 మధ్య నుండి, అభివృద్ధి చెందుతున్న రాప్టర్ రైలు బోట్నెట్తో కనీసం నాలుగు విభిన్న ప్రచారాలు అనుబంధించబడ్డాయి, ప్రతి ఒక్కటి విభిన్న రూట్ డొమైన్లు మరియు లక్ష్య పరికరాల ద్వారా వర్గీకరించబడతాయి:
- క్రాస్బిల్ (మే 2020 నుండి ఏప్రిల్ 2022 వరకు) - C2 రూట్ డొమైన్ k3121.com మరియు దాని అనుబంధ సబ్డొమైన్లను ఉపయోగించారు.
- ఫించ్ (జూలై 2022 నుండి జూన్ 2023 వరకు) - C2 రూట్ డొమైన్ b2047.com మరియు సంబంధిత C2 సబ్డొమైన్లను ఉపయోగించారు.
- కానరీ (మే 2023 నుండి ఆగస్టు 2023 వరకు) - C2 రూట్ డొమైన్ b2047.com మరియు దాని సబ్డొమైన్లను కూడా ఉపయోగించారు కానీ బహుళ-దశల డ్రాపర్లపై ఆధారపడింది.
- ఓరియోల్ (జూన్ 2023 నుండి సెప్టెంబర్ 2024 వరకు) - C2 రూట్ డొమైన్ w8510.com మరియు దాని అనుబంధ సబ్డొమైన్లను ఉపయోగించారు.
యాక్షన్టెక్ PK5000 మోడెమ్లు, హైక్విజన్ IP కెమెరాలు, షెన్జెన్ TVT NVRలు మరియు ASUS రౌటర్లపై దృష్టి సారించినందుకు కానరీ ప్రచారం ప్రత్యేకంగా చెప్పుకోదగినది. ఇది బహుళ-లేయర్డ్ ఇన్ఫెక్షన్ చైన్తో విభిన్నంగా ఉంటుంది, ఇది మొదట బాష్ స్క్రిప్ట్ను డౌన్లోడ్ చేస్తుంది, తర్వాత ఇది టైర్ 2 పేలోడ్ సర్వర్కి కనెక్ట్ చేసి నోస్డైవ్ మరియు రెండవ-దశ బాష్ స్క్రిప్ట్ను పొందుతుంది.
రాప్టర్ రైలు మరియు ఫ్లాక్స్ టైఫూన్పై అధికారులు చర్యలు తీసుకుంటారు
US డిపార్ట్మెంట్ ఆఫ్ జస్టిస్ (DoJ) కోర్టు-అధీకృత చట్ట అమలు చర్య తర్వాత రాప్టర్ రైలు బోట్నెట్ను ఉపసంహరించుకుంటున్నట్లు ప్రకటించింది. DoJ ఫ్లాక్స్ టైఫూన్ ముప్పు నటుడిని బహిరంగంగా వ్యాపారం చేసే బీజింగ్ ఆధారిత ఇంటిగ్రిటీ టెక్నాలజీ గ్రూప్ అనే కంపెనీకి లింక్ చేసింది.
ఈ మాల్వేర్ నెట్వర్క్ ఇన్ఫెక్షన్ సోకిన వేలకొద్దీ పరికరాలను ఇంటిగ్రిటీ టెక్నాలజీ గ్రూప్ నిర్వహించే బాట్నెట్కి కనెక్ట్ చేసింది. సోకిన పరికరాల నుండి సాధారణ ఇంటర్నెట్ ట్రాఫిక్ వలె మారువేషంలో బెదిరింపు సైబర్ కార్యకలాపాలను నిర్వహించడానికి ఇది ఉపయోగించబడింది.
ఆపరేషన్ సమయంలో, లా ఎన్ఫోర్స్మెంట్ దాడి చేసేవారి మౌలిక సదుపాయాలను స్వాధీనం చేసుకుంది మరియు సోకిన పరికరాల్లోని మాల్వేర్కు డిసేబుల్ ఆదేశాలను జారీ చేసింది. కోర్టు ఉత్తర్వును అమలు చేయడానికి ఫెడరల్ బ్యూరో ఆఫ్ ఇన్వెస్టిగేషన్ (FBI) ఉపయోగించే సర్వర్లపై DDoS దాడిని ప్రారంభించడం ద్వారా బెదిరింపు నటులు ఈ ప్రయత్నాన్ని అడ్డుకోవడానికి ప్రయత్నించారు, కానీ ఈ ప్రయత్నాలు విఫలమయ్యాయి.
DoJ ప్రకారం, ఇంటిగ్రిటీ టెక్నాలజీ గ్రూప్ ఆన్లైన్ అప్లికేషన్ను నిర్వహించింది, ఇది వినియోగదారులను లాగిన్ చేయడానికి మరియు రాజీపడిన పరికరాలను నియంత్రించడానికి అనుమతించింది. ఈ అప్లికేషన్, 'KRLab' అని పేరు పెట్టబడింది మరియు ఇంటిగ్రిటీ టెక్నాలజీ గ్రూప్ యొక్క ప్రముఖ పబ్లిక్ బ్రాండ్ క్రింద విక్రయించబడింది, హానికరమైన సైబర్ ఆదేశాలను అమలు చేయడానికి 'vulnerability-arsenal' అనే సాధనాన్ని కలిగి ఉంది.
జూన్ 2024 నాటికి, బోట్నెట్ 260,000 పరికరాలకు పెరిగింది, బాధితులు ఉత్తర అమెరికా (135,300), యూరప్ (65,600), ఆసియా (50,400), ఆఫ్రికా (9,200), ఓషియానియా (2,400) మరియు దక్షిణ అమెరికాలో (800) ఉన్నారు.
అదనంగా, టైర్ 3 మేనేజ్మెంట్ సర్వర్లో హోస్ట్ చేయబడిన MySQL డేటాబేస్లో రాజీపడిన పరికరాల 1.2 మిలియన్ రికార్డులు కనుగొనబడ్డాయి. స్పారో అప్లికేషన్ ద్వారా నిర్వహించబడే ఈ సర్వర్, బోట్నెట్ మరియు C2 సర్వర్లను నియంత్రించడానికి ఉపయోగించబడింది మరియు తెలిసిన మరియు జీరో-డే దుర్బలత్వాలను ఉపయోగించి కంప్యూటర్ నెట్వర్క్లను దోపిడీ చేయడానికి మాడ్యూల్ను కలిగి ఉంది.
