Raptor Train Botnet
Дослідники з кібербезпеки виявили нову ботнет, що складається з скомпрометованих пристроїв малого офісу/домашнього офісу (SOHO) та пристроїв Інтернету речей (IoT). Вважається, що цей ботнет контролюється китайською національно-державною групою загроз, відомою як Flax Typhoon, яку також називають Ethereal Panda або RedJuliett.
Дослідники назвали ботнет Raptor Train. Він був активним принаймні з травня 2020 року і досяг піку в 60 000 зламаних пристроїв до червня 2023 року.
На сьогоднішній день понад 200 000 пристроїв, у тому числі маршрутизатори SOHO, системи NVR/DVR, сервери мережевого зберігання даних (NAS) та IP-камери, були захоплені Raptor Train, що робить його одним із найбільших державних IoT-ботнетів, пов’язаних із Китаєм. .
Зміст
За оцінками експертів, поїзд Raptor вразив понад 200 000 пристроїв
Вважається, що інфраструктура ботнету зламала сотні тисяч пристроїв з моменту свого створення. Він працює за трирівневою архітектурою:
Рівень 1: зламані пристрої SOHO та IoT
Рівень 2: Сервери експлуатації, сервери корисного навантаження та сервери командування та керування (C2)
Рівень 3: вузли централізованого керування та крос-платформний інтерфейс програми Electron, відомий як Sparrow (також званий інструментом комплексного керування вузлом або NCCT)
У цьому налаштуванні завдання ботів ініціюються з вузлів керування «Sparrow» рівня 3, маршрутизуються через сервери C2 рівня 2 і в кінцевому підсумку доставляються роботам рівня 1, які утворюють більшість мережі ботнету.
Цільові пристрої включають маршрутизатори, IP-камери, відеореєстратори та системи NAS від різних виробників, таких як ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP -LINK і Zyxel.
Більшість вузлів рівня 1 було відстежено в США, Тайвані, В’єтнамі, Бразилії, Гонконзі та Туреччині. Кожен вузол має середню тривалість життя 17,44 дня, що свідчить про те, що загроза може легко повторно інфікувати пристрої за потреби.
Подробиці про ланцюг нападу поїзда Raptor
У багатьох випадках оператори не реалізували механізм збереження, який виживає після перезавантаження. Однак стійкість ботнету підтримується широким набором експлойтів, доступних для різних уразливих пристроїв SOHO та IoT, а також великою кількістю таких пристроїв онлайн, що надає Raptor Train свого роду «внутрішню» стійкість.
Вузли заражаються імплантатом у пам’яті, відомим як Nosedive, спеціальним варіантом ботнету Mirai, через сервери корисного навантаження рівня 2, спеціально налаштовані для цієї мети. Цей двійковий файл ELF дозволяє виконувати команди, завантажувати та завантажувати файли та виконувати DDoS-атаки.
Вузли рівня 2 змінюються приблизно кожні 75 днів і в основному розташовані в США, Сінгапурі, Великобританії, Японії та Південній Кореї. Кількість вузлів C2 зросла приблизно з 1-5 між 2020 і 2022 роками до щонайменше 60 між червнем і серпнем 2024 року.
Ці вузли рівня 2 є універсальними, слугуючи не тільки як сервери експлуатації та корисного навантаження, але й сприяючи розвідці цільових об’єктів і включаючи нові пристрої в ботнет.
Було виявлено кілька кампаній нападу поїздів Raptor
З середини 2020 року щонайменше чотири різні кампанії були пов’язані з ботнетом Raptor Train, що розвивається, кожна з яких характеризується різними кореневими доменами та цільовими пристроями:
- Crossbill (травень 2020 – квітень 2022) – використовував кореневий домен C2 k3121.com і пов’язані з ним субдомени.
- Фінч (липень 2022 – червень 2023) – використовував кореневий домен C2 b2047.com і пов’язані субдомени C2.
- Canary (травень 2023 р. – серпень 2023 р.) – також використовувався кореневий домен C2 b2047.com і його субдомени, але покладався на багатоетапні дроппери.
- Іволга (з червня 2023 р. по вересень 2024 р.) – використовувався кореневий домен C2 w8510.com і пов’язані з ним субдомени.
Кампанія Canary особливо примітна тим, що зосереджена на модемах ActionTec PK5000, IP-камерах Hikvision, відеореєстраторах Shenzhen TVT і маршрутизаторах ASUS. Він відрізняється багаторівневим ланцюгом зараження, який спочатку завантажує сценарій bash, який потім підключається до сервера корисного навантаження рівня 2 для отримання Nosedive і сценарію bash другого етапу.
Влада вживає заходів проти поїзда Raptor і тайфуну Flax
Міністерство юстиції США (DoJ) оголосило про ліквідацію ботнету Raptor Train після санкціонованої судом операції правоохоронних органів. Міністерство юстиції зв’язало загрозу Flax Typhoon із публічною пекінською компанією Integrity Technology Group.
Ця мережа зловмисного програмного забезпечення підключила тисячі заражених пристроїв до ботнету, керованого Integrity Technology Group. Він використовувався для здійснення загрозливих кібердій, замаскованих під звичайний Інтернет-трафік із заражених пристроїв.
Під час операції правоохоронні органи захопили інфраструктуру зловмисників і видали команди на відключення шкідливого програмного забезпечення на заражених пристроях. Зловмисники намагалися перешкодити цим зусиллям, запустивши DDoS-атаку на сервери, які використовувалися Федеральним бюро розслідувань (ФБР) для виконання судового наказу, але ці спроби були невдалими.
За даними Міністерства юстиції, Integrity Technology Group керувала онлайн-додатком, який дозволяв клієнтам входити в систему та контролювати скомпрометовані пристрої. Ця програма під назвою «KRLab» і продається під провідним загальнодоступним брендом Integrity Technology Group містила інструмент під назвою «арсенал уразливостей» для виконання шкідливих кібер-команд.
До червня 2024 року ботнет зріс до понад 260 000 пристроїв, жертви яких знаходяться в Північній Америці (135 300), Європі (65 600), Азії (50 400), Африці (9 200), Океанії (2 400) і Південній Америці (800).
Крім того, понад 1,2 мільйона записів про скомпрометовані пристрої було знайдено в базі даних MySQL, розміщеній на сервері керування Tier 3. Цей сервер керувався через програму Sparrow, використовувався для контролю ботнету та серверів C2 і включав модуль для використання комп’ютерних мереж з використанням як відомих, так і нульового дня вразливостей.
