Raptor Train Botnet

นักวิจัยด้านความปลอดภัยไซเบอร์ได้ระบุบอตเน็ตชนิดใหม่ซึ่งประกอบด้วยอุปกรณ์สำนักงานขนาดเล็ก/สำนักงานที่บ้าน (SOHO) และอินเทอร์เน็ตออฟธิงส์ (IoT) ที่ถูกบุกรุก เชื่อกันว่าบอตเน็ตนี้ถูกควบคุมโดยกลุ่มภัยคุกคามจากชาติจีนที่รู้จักกันในชื่อ Flax Typhoon หรือที่เรียกอีกอย่างว่า Ethereal Panda หรือ RedJuliett

นักวิจัยตั้งชื่อบอตเน็ตนี้ว่า “Raptor Train” ซึ่งเริ่มระบาดตั้งแต่เดือนพฤษภาคม 2020 เป็นอย่างน้อย และมีจำนวนอุปกรณ์ที่ได้รับผลกระทบถึง 60,000 เครื่องภายในเดือนมิถุนายน 2023

จนถึงปัจจุบัน อุปกรณ์มากกว่า 200,000 เครื่องรวมถึงเราเตอร์ SOHO, ระบบ NVR/DVR, เซิร์ฟเวอร์ที่เก็บข้อมูลบนเครือข่าย (NAS) และกล้อง IP ถูก Raptor Train โจมตี ซึ่งทำให้กลายเป็นบอตเน็ต IoT ที่สนับสนุนโดยรัฐที่ใหญ่ที่สุดแห่งหนึ่งที่เชื่อมโยงกับจีน

ผู้เชี่ยวชาญประเมินว่ารถไฟ Raptor น่าจะส่งผลกระทบต่ออุปกรณ์มากกว่า 200,000 เครื่อง

เชื่อกันว่าโครงสร้างพื้นฐานของบอตเน็ตได้ทำลายอุปกรณ์ไปแล้วหลายแสนเครื่องนับตั้งแต่เริ่มก่อตั้ง โดยบอตเน็ตทำงานโดยใช้สถาปัตยกรรมสามชั้น:

ระดับที่ 1: อุปกรณ์ SOHO และ IoT ที่ถูกบุกรุก

ระดับที่ 2: เซิร์ฟเวอร์การใช้ประโยชน์ เซิร์ฟเวอร์เพย์โหลด และเซิร์ฟเวอร์คำสั่งและการควบคุม (C2)

ระดับ 3: โหนดการจัดการแบบรวมศูนย์และอินเทอร์เฟซแอปพลิเคชัน Electron ข้ามแพลตฟอร์มที่เรียกว่า Sparrow (เรียกอีกอย่างว่า Node Comprehensive Control Tool หรือ NCCT)

ในการตั้งค่านี้ งานของบ็อตจะเริ่มต้นจากโหนดการจัดการ 'Sparrow' ระดับ 3 ส่งผ่านเซิร์ฟเวอร์ C2 ระดับ 2 และท้ายที่สุดจะส่งถึงบ็อตในระดับ 1 ซึ่งเป็นส่วนใหญ่ของเครือข่ายบ็อตเน็ต

อุปกรณ์เป้าหมาย ได้แก่ เราเตอร์ กล้อง IP DVR และระบบ NAS จากผู้ผลิตต่างๆ เช่น ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK และ Zyxel

โหนดระดับ 1 ส่วนใหญ่ได้รับการติดตามไปยังสถานที่ต่างๆ ในสหรัฐอเมริกา ไต้หวัน เวียดนาม บราซิล ฮ่องกง และตุรกี โหนดแต่ละโหนดมีอายุเฉลี่ย 17.44 วัน ซึ่งบ่งชี้ว่าผู้ก่อภัยคุกคามสามารถแพร่เชื้อให้กับอุปกรณ์ซ้ำได้อย่างง่ายดายเมื่อจำเป็น

รายละเอียดเกี่ยวกับ Raptor Train Attack Chain

ในหลายกรณี ผู้ปฏิบัติการไม่ได้ใช้กลไกการคงอยู่ซึ่งรอดจากการรีบูต อย่างไรก็ตาม การคงอยู่ของบอตเน็ตได้รับการสนับสนุนจากช่องโหว่มากมายที่มีให้สำหรับอุปกรณ์ SOHO และ IoT ที่มีช่องโหว่ต่างๆ และอุปกรณ์ดังกล่าวจำนวนมากออนไลน์ ทำให้ Raptor Train มีความคงอยู่โดยธรรมชาติ

โหนดต่างๆ จะติดไวรัสด้วยอุปกรณ์ฝังในหน่วยความจำที่เรียกว่า Nosedive ซึ่งเป็นบอตเน็ต Mirai เวอร์ชันพิเศษ ผ่านเซิร์ฟเวอร์เพย์โหลด Tier 2 ที่ตั้งขึ้นโดยเฉพาะสำหรับจุดประสงค์นี้ ไบนารี ELF นี้ช่วยให้สามารถดำเนินการคำสั่ง อัปโหลดและดาวน์โหลดไฟล์ และโจมตี DDoS ได้

โหนดระดับ 2 จะมีการหมุนเวียนประมาณทุกๆ 75 วัน และส่วนใหญ่ตั้งอยู่ในสหรัฐอเมริกา สิงคโปร์ สหราชอาณาจักร ญี่ปุ่น และเกาหลีใต้ จำนวนโหนด C2 เพิ่มขึ้นจากประมาณ 1-5 ระหว่างปี 2020 และ 2022 เป็นอย่างน้อย 60 ระหว่างเดือนมิถุนายนถึงสิงหาคม 2024

โหนดระดับ 2 เหล่านี้มีความยืดหยุ่น ไม่เพียงแต่ทำหน้าที่เป็นเซิร์ฟเวอร์สำหรับการใช้ประโยชน์และโหลดข้อมูลเท่านั้น แต่ยังอำนวยความสะดวกในการลาดตระเวนเอนทิตีเป้าหมายและรวมอุปกรณ์ใหม่เข้าไปในบอตเน็ตอีกด้วย

เปิดเผยแคมเปญโจมตีรถไฟ Raptor หลายรายการ

นับตั้งแต่ช่วงกลางปี 2020 เป็นต้นมา มีแคมเปญที่แตกต่างกันอย่างน้อยสี่แคมเปญที่เกี่ยวข้องกับบอตเน็ต Raptor Train ที่กำลังพัฒนา โดยแต่ละแคมเปญมีลักษณะเฉพาะคือโดเมนรากและอุปกรณ์เป้าหมายที่แตกต่างกัน:

• Crossbill (พฤษภาคม 2020 ถึงเมษายน 2022) - ใช้โดเมนรูท C2 k3121.com และโดเมนย่อยที่เกี่ยวข้อง
• ฟินช์ (กรกฎาคม 2022 ถึง มิถุนายน 2023) - ใช้โดเมนรูท C2 คือ b2047.com และโดเมนย่อย C2 ที่เกี่ยวข้อง
• Canary (พฤษภาคม 2023 ถึงสิงหาคม 2023) - ใช้โดเมนรูท C2 คือ b2047.com และโดเมนย่อย แต่ใช้ดรอปเปอร์แบบหลายขั้นตอน
• Oriole (มิถุนายน 2023 ถึงกันยายน 2024) - ใช้โดเมนรูท C2 w8510.com และโดเมนย่อยที่เกี่ยวข้อง

แคมเปญ Canary โดดเด่นเป็นพิเศษตรงที่เน้นที่โมเด็ม ActionTec PK5000, กล้อง IP Hikvision, NVR Shenzhen TVT และเราเตอร์ ASUS แคมเปญนี้โดดเด่นด้วยห่วงโซ่การติดเชื้อหลายชั้นที่ดาวน์โหลดสคริปต์ bash ก่อน จากนั้นจึงเชื่อมต่อกับเซิร์ฟเวอร์เพย์โหลด Tier 2 เพื่อดึง Nosedive และสคริปต์ bash ขั้นที่สอง

เจ้าหน้าที่ดำเนินการกับรถไฟแร็พเตอร์และไต้ฝุ่นแฟลกซ์

กระทรวงยุติธรรมของสหรัฐฯ ได้ประกาศปิดระบบบอตเน็ต Raptor Train หลังจากศาลอนุมัติให้ดำเนินการบังคับใช้กฎหมาย กระทรวงยุติธรรมเชื่อมโยงผู้ก่อภัยคุกคาม Flax Typhoon กับบริษัท Integrity Technology Group ที่จดทะเบียนในตลาดหลักทรัพย์ในกรุงปักกิ่ง

เครือข่ายมัลแวร์นี้เชื่อมต่ออุปกรณ์ที่ติดไวรัสจำนวนหลายพันเครื่องเข้ากับบอตเน็ตที่บริหารจัดการโดย Integrity Technology Group ซึ่งบอตเน็ตนี้ถูกใช้เพื่อดำเนินกิจกรรมทางไซเบอร์ที่คุกคามโดยปลอมตัวเป็นการรับส่งข้อมูลทางอินเทอร์เน็ตปกติจากอุปกรณ์ที่ติดไวรัส

ระหว่างปฏิบัติการ เจ้าหน้าที่บังคับใช้กฎหมายได้ยึดโครงสร้างพื้นฐานของผู้โจมตีและออกคำสั่งปิดการใช้งานมัลแวร์บนอุปกรณ์ที่ติดไวรัส ผู้ก่อภัยคุกคามพยายามขัดขวางความพยายามนี้โดยเปิดการโจมตี DDoS กับเซิร์ฟเวอร์ที่สำนักงานสอบสวนกลาง (FBI) ใช้ในการดำเนินการตามคำสั่งศาล แต่ความพยายามเหล่านี้ไม่ประสบผลสำเร็จ

ตามข้อมูลของกระทรวงยุติธรรม Integrity Technology Group ดำเนินการแอปพลิเคชันออนไลน์ที่ให้ลูกค้าเข้าสู่ระบบและควบคุมอุปกรณ์ที่ถูกบุกรุก แอปพลิเคชันนี้มีชื่อว่า 'KRLab' และทำการตลาดภายใต้แบรนด์สาธารณะชั้นนำของ Integrity Technology Group รวมถึงเครื่องมือที่เรียกว่า 'vulnerability-arsenal' สำหรับการดำเนินการคำสั่งทางไซเบอร์ที่เป็นอันตราย

ในเดือนมิถุนายน พ.ศ. 2567 บอตเน็ตได้เติบโตจนมีอุปกรณ์มากกว่า 260,000 เครื่อง โดยมีเหยื่ออยู่ในอเมริกาเหนือ (135,300) ยุโรป (65,600) เอเชีย (50,400) แอฟริกา (9,200) โอเชียเนีย (2,400) และอเมริกาใต้ (800)

นอกจากนี้ ยังพบบันทึกอุปกรณ์ที่ถูกบุกรุกมากกว่า 1.2 ล้านรายการในฐานข้อมูล MySQL ที่โฮสต์บนเซิร์ฟเวอร์การจัดการระดับ 3 เซิร์ฟเวอร์นี้ได้รับการจัดการผ่านแอปพลิเคชัน Sparrow ใช้เพื่อควบคุมบอตเน็ตและเซิร์ฟเวอร์ C2 และรวมถึงโมดูลสำหรับใช้ประโยชน์จากเครือข่ายคอมพิวเตอร์โดยใช้ทั้งช่องโหว่ที่ทราบและช่องโหว่แบบ zero-day