Raptor Train Botnet
Siber güvenlik araştırmacıları, tehlikeye atılmış küçük ofis/ev ofisi (SOHO) ve Nesnelerin İnterneti (IoT) cihazlarından oluşan yeni bir botnet tespit etti. Bu botnet'in, Flax Typhoon olarak bilinen ve Ethereal Panda veya RedJuliett olarak da bilinen bir Çin ulus-devlet tehdit grubu tarafından kontrol edildiğine inanılıyor.
Araştırmacılar botnet'e 'Raptor Train' adını verdiler. En azından Mayıs 2020'den beri aktifti ve Haziran 2023'e kadar 60.000 tehlikeye atılmış cihazla zirveye ulaştı.
Bugüne kadar SOHO yönlendiricileri, NVR/DVR sistemleri, ağa bağlı depolama (NAS) sunucuları ve IP kameralar da dahil olmak üzere 200.000'den fazla cihaz Raptor Train tarafından ele geçirildi ve bu, onu Çin ile bağlantılı en büyük devlet destekli IoT botnetlerinden biri haline getirdi.
İçindekiler
Uzmanlar Raptor Treninin 200.000’den Fazla Cihazı Etkilediğini Tahmin Ediyor
Botnet'in altyapısının başlangıcından bu yana yüz binlerce cihazı tehlikeye attığına inanılıyor. Üç katmanlı bir mimari kullanarak çalışıyor:
1. Seviye: Tehlikeye atılan SOHO ve IoT cihazları
2. Seviye: İstismar sunucuları, yük sunucuları ve Komuta ve Kontrol (C2) sunucuları
3. Kademe: Merkezi yönetim düğümleri ve Sparrow olarak bilinen çapraz platformlu bir Electron uygulama arayüzü (ayrıca Node Kapsamlı Kontrol Aracı veya NCCT olarak da bilinir)
Bu kurulumda, bot görevleri 3. Kademe 'Sparrow' yönetim düğümlerinden başlatılır, 2. Kademe C2 sunucularına yönlendirilir ve en sonunda botnet ağının çoğunluğunu oluşturan 1. Kademedeki botlara iletilir.
Hedeflenen cihazlar arasında ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK ve Zyxel gibi çeşitli üreticilerin yönlendiricileri, IP kameraları, DVR'leri ve NAS sistemleri yer alıyor.
1. Kademe düğümlerinin çoğu ABD, Tayvan, Vietnam, Brezilya, Hong Kong ve Türkiye'deki konumlara kadar izlendi. Her düğümün ortalama ömrü 17,44 gündür, bu da tehdit aktörünün gerektiğinde cihazları kolayca yeniden enfekte edebileceğini göstermektedir.
Raptor Tren Saldırı Zinciri Hakkında Ayrıntılar
Çoğu durumda, operatörler yeniden başlatmayı atlatan bir kalıcılık mekanizması uygulamadı. Ancak botnetin kalıcılığı, çeşitli savunmasız SOHO ve IoT cihazları için mevcut olan geniş kapsamlı istismar yelpazesi ve çevrimiçi olarak bu tür cihazların büyük sayısı tarafından destekleniyor ve Raptor Train'e bir tür 'doğal' kalıcılık sağlıyor.
Düğümler, özellikle bu amaç için kurulmuş Tier 2 yük sunucuları aracılığıyla, Mirai botnet'in özel bir çeşidi olan Nosedive olarak bilinen bir bellek içi implantla enfekte edilir. Bu ELF ikilisi, komut yürütme, dosya yükleme ve indirme ve DDoS saldırılarına izin verir.
2. Kademe düğümleri yaklaşık olarak her 75 günde bir döndürülür ve çoğunlukla ABD, Singapur, İngiltere, Japonya ve Güney Kore'de bulunur. C2 düğümlerinin sayısı 2020 ile 2022 arasında yaklaşık 1-5'ten Haziran ile Ağustos 2024 arasında en az 60'a çıkmıştır.
Bu 2. Kademe düğümleri çok yönlüdür; yalnızca istismar ve yük sunucuları olarak hizmet vermekle kalmaz, aynı zamanda hedeflenen varlıkların keşfini kolaylaştırır ve botnet'e yeni cihazlar dahil eder.
Birden Fazla Raptor Tren Saldırısı Kampanyası Ortaya Çıkarıldı
2020 yılının ortalarından bu yana, gelişen Raptor Train botnet'iyle ilişkilendirilen en az dört farklı kampanya bulunuyor; her biri farklı kök etki alanlarına ve hedeflenen cihazlara sahip:
- Crossbill (Mayıs 2020 - Nisan 2022) - C2 kök etki alanı k3121.com ve ilişkili alt etki alanlarını kullandı.
- Finch (Temmuz 2022 - Haziran 2023) - C2 kök etki alanı b2047.com ve ilgili C2 alt etki alanlarını kullandı.
- Kanarya (Mayıs 2023 - Ağustos 2023) - Ayrıca C2 kök etki alanı b2047.com ve alt etki alanlarını da kullandım ancak çok aşamalı dropper'lara güvendim.
- Oriole (Haziran 2023 - Eylül 2024) - C2 kök etki alanı w8510.com ve ilişkili alt etki alanlarını kullandı.
Canary kampanyası, ActionTec PK5000 modemler, Hikvision IP kameralar, Shenzhen TVT NVR'ler ve ASUS yönlendiricilere odaklanmasıyla özellikle dikkat çekicidir. Önce bir bash betiği indiren, ardından Nosedive ve ikinci aşama bash betiğini almak için bir Tier 2 yük sunucusuna bağlanan çok katmanlı bir enfeksiyon zinciriyle ayırt edilir.
Yetkililer Raptor Treni ve Keten Tayfunu’na Karşı Harekete Geçiyor
ABD Adalet Bakanlığı (DoJ), mahkeme tarafından yetkilendirilen bir kolluk kuvvetleri operasyonunun ardından Raptor Train botnet'inin kapatıldığını duyurdu. DoJ, Flax Typhoon tehdit aktörünü, Integrity Technology Group adlı halka açık bir Pekin merkezli şirketle ilişkilendirdi.
Bu kötü amaçlı yazılım ağı, binlerce enfekte cihazı Integrity Technology Group tarafından yönetilen bir botnet'e bağladı. Enfekte cihazlardan gelen normal İnternet trafiği gibi gizlenmiş tehdit edici siber aktiviteler yürütmek için kullanıldı.
Operasyon sırasında kolluk kuvvetleri saldırganların altyapısını ele geçirdi ve enfekte cihazlardaki kötü amaçlı yazılıma devre dışı bırakma komutları verdi. Tehdit aktörleri, Federal Soruşturma Bürosu'nun (FBI) mahkeme emrini yerine getirmek için kullandığı sunuculara bir DDoS saldırısı başlatarak bu çabayı engellemeye çalıştı, ancak bu girişimler başarısız oldu.
Adalet Bakanlığı'na göre, Integrity Technology Group, müşterilerin oturum açmasına ve tehlikeye atılmış cihazları kontrol etmesine olanak tanıyan bir çevrimiçi uygulama işletiyordu. 'KRLab' adlı ve Integrity Technology Group'un önde gelen kamu markası altında pazarlanan bu uygulama, zararlı siber komutları yürütmek için 'güvenlik açığı cephaneliği' adlı bir araç içeriyordu.
Haziran 2024 itibarıyla botnet 260.000'den fazla cihaza ulaştı ve kurbanlar Kuzey Amerika'da (135.300), Avrupa'da (65.600), Asya'da (50.400), Afrika'da (9.200), Okyanusya'da (2.400) ve Güney Amerika'da (800) bulunuyordu.
Ek olarak, Tier 3 yönetim sunucusunda barındırılan bir MySQL veritabanında 1,2 milyondan fazla tehlikeye atılmış cihaz kaydı bulundu. Sparrow uygulamasıyla yönetilen bu sunucu, botnet ve C2 sunucularını kontrol etmek için kullanıldı ve hem bilinen hem de sıfır günlük güvenlik açıklarını kullanarak bilgisayar ağlarını istismar etmek için bir modül içeriyordu.
