Mạng lưới bot Raptor Train

Các nhà nghiên cứu an ninh mạng đã xác định được một mạng botnet mới bao gồm các thiết bị văn phòng/văn phòng tại nhà (SOHO) và Internet vạn vật (IoT) bị xâm nhập. Mạng botnet này được cho là do một nhóm đe dọa quốc gia Trung Quốc có tên là Flax Typhoon, còn được gọi là Ethereal Panda hoặc RedJuliett kiểm soát.

Các nhà nghiên cứu đặt tên cho botnet là 'Raptor Train'. Nó đã hoạt động ít nhất từ tháng 5 năm 2020 và đạt đỉnh điểm là 60.000 thiết bị bị xâm phạm vào tháng 6 năm 2023.

Cho đến nay, hơn 200.000 thiết bị, bao gồm bộ định tuyến SOHO, hệ thống NVR/DVR, máy chủ lưu trữ mạng (NAS) và camera IP đã bị Raptor Train chiếm quyền điều khiển, khiến nó trở thành một trong những mạng botnet IoT lớn nhất do nhà nước tài trợ có liên quan đến Trung Quốc.

Các chuyên gia ước tính Raptor Train đã ảnh hưởng đến hơn 200.000 thiết bị

Cơ sở hạ tầng của botnet được cho là đã xâm phạm hàng trăm nghìn thiết bị kể từ khi thành lập. Nó hoạt động bằng kiến trúc ba tầng:

Bậc 1: Thiết bị SOHO và IoT bị xâm phạm

Cấp 2: Máy chủ khai thác, máy chủ tải trọng và máy chủ Chỉ huy và Kiểm soát (C2)

Bậc 3: Các nút quản lý tập trung và giao diện ứng dụng Electron đa nền tảng được gọi là Sparrow (còn gọi là Công cụ kiểm soát toàn diện nút hoặc NCCT)

Trong thiết lập này, các tác vụ bot được khởi tạo từ các nút quản lý 'Sparrow' Cấp 3, định tuyến qua các máy chủ C2 Cấp 2 và cuối cùng được chuyển đến các bot ở Cấp 1, tạo nên phần lớn mạng lưới botnet.

Các thiết bị nhắm mục tiêu bao gồm bộ định tuyến, camera IP, DVR và hệ thống NAS từ nhiều nhà sản xuất khác nhau như ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK và Zyxel.

Hầu hết các nút Tier 1 đã được truy tìm đến các địa điểm tại Hoa Kỳ, Đài Loan, Việt Nam, Brazil, Hồng Kông và Thổ Nhĩ Kỳ. Mỗi nút có tuổi thọ trung bình là 17,44 ngày, cho thấy rằng tác nhân đe dọa có thể dễ dàng lây nhiễm lại các thiết bị bất cứ khi nào cần.

Chi tiết về chuỗi tấn công của Raptor Train

Trong nhiều trường hợp, các nhà điều hành không triển khai cơ chế duy trì tồn tại sau khi khởi động lại. Tuy nhiên, tính duy trì của botnet được hỗ trợ bởi phạm vi khai thác rộng lớn có sẵn cho nhiều thiết bị SOHO và IoT dễ bị tấn công và số lượng lớn các thiết bị như vậy trực tuyến, mang lại cho Raptor Train một loại tính duy trì 'vốn có'.

Các nút bị nhiễm một phần mềm cấy ghép trong bộ nhớ được gọi là Nosedive, một biến thể tùy chỉnh của botnet Mirai, thông qua các máy chủ tải trọng Tier 2 được thiết lập riêng cho mục đích này. Tệp nhị phân ELF này cho phép thực thi lệnh, tải lên và tải xuống tệp và tấn công DDoS.

Các nút Tier 2 được luân chuyển khoảng 75 ngày một lần và chủ yếu nằm ở Hoa Kỳ, Singapore, Vương quốc Anh, Nhật Bản và Hàn Quốc. Số lượng nút C2 đã tăng từ khoảng 1-5 nút trong khoảng thời gian từ năm 2020 đến năm 2022 lên ít nhất 60 nút trong khoảng thời gian từ tháng 6 đến tháng 8 năm 2024.

Các nút Tier 2 này rất linh hoạt, không chỉ đóng vai trò là máy chủ khai thác và tải trọng mà còn hỗ trợ trinh sát các thực thể mục tiêu và kết hợp các thiết bị mới vào mạng botnet.

Nhiều chiến dịch tấn công của tàu Raptor đã bị phát hiện

Kể từ giữa năm 2020, ít nhất bốn chiến dịch riêng biệt đã được liên kết với mạng botnet Raptor Train đang phát triển, mỗi chiến dịch được đặc trưng bởi các tên miền gốc và thiết bị mục tiêu khác nhau:

• Crossbill (tháng 5 năm 2020 đến tháng 4 năm 2022) - Sử dụng tên miền gốc C2 k3121.com và các tên miền phụ liên quan.
• Finch (tháng 7 năm 2022 đến tháng 6 năm 2023) - Sử dụng tên miền gốc C2 b2047.com và các tên miền phụ C2 liên quan.
• Canary (tháng 5 năm 2023 đến tháng 8 năm 2023) - Cũng sử dụng tên miền gốc C2 b2047.com và các tên miền phụ của nó nhưng dựa vào trình thả nhiều giai đoạn.
• Oriole (tháng 6 năm 2023 đến tháng 9 năm 2024) - Sử dụng tên miền gốc C2 w8510.com và các tên miền phụ liên quan.

Chiến dịch Canary đặc biệt đáng chú ý vì tập trung vào modem ActionTec PK5000, camera IP Hikvision, NVR Shenzhen TVT và bộ định tuyến ASUS. Nó được phân biệt bằng chuỗi lây nhiễm nhiều lớp, đầu tiên tải xuống một tập lệnh bash, sau đó kết nối với máy chủ tải trọng Tier 2 để lấy Nosedive và tập lệnh bash giai đoạn thứ hai.

Chính quyền hành động chống lại tàu Raptor và cơn bão Flax

Bộ Tư pháp Hoa Kỳ (DoJ) đã công bố việc gỡ bỏ botnet Raptor Train sau một hoạt động thực thi pháp luật được tòa án cho phép. DoJ đã liên kết tác nhân đe dọa Flax Typhoon với một công ty có trụ sở tại Bắc Kinh được giao dịch công khai có tên là Integrity Technology Group.

Mạng lưới phần mềm độc hại này đã kết nối hàng ngàn thiết bị bị nhiễm với một mạng botnet do Integrity Technology Group quản lý. Mạng này được sử dụng để thực hiện các hoạt động mạng đe dọa được ngụy trang dưới dạng lưu lượng truy cập Internet thông thường từ các thiết bị bị nhiễm.

Trong quá trình hoạt động, cơ quan thực thi pháp luật đã tịch thu cơ sở hạ tầng của những kẻ tấn công và ban hành lệnh vô hiệu hóa phần mềm độc hại trên các thiết bị bị nhiễm. Những kẻ đe dọa đã cố gắng cản trở nỗ lực này bằng cách phát động một cuộc tấn công DDoS vào các máy chủ được Cục Điều tra Liên bang (FBI) sử dụng để thực hiện lệnh của tòa án, nhưng những nỗ lực này đã không thành công.

Theo Bộ Tư pháp, Integrity Technology Group đã vận hành một ứng dụng trực tuyến cho phép khách hàng đăng nhập và kiểm soát các thiết bị bị xâm phạm. Ứng dụng này, có tên là 'KRLab' và được tiếp thị dưới thương hiệu công khai hàng đầu của Integrity Technology Group, bao gồm một công cụ có tên là 'vulnerability-arsenal' để thực hiện các lệnh mạng có hại.

Đến tháng 6 năm 2024, mạng botnet đã phát triển lên hơn 260.000 thiết bị, với các nạn nhân ở Bắc Mỹ (135.300), Châu Âu (65.600), Châu Á (50.400), Châu Phi (9.200), Châu Đại Dương (2.400) và Nam Mỹ (800).

Ngoài ra, hơn 1,2 triệu bản ghi về các thiết bị bị xâm phạm đã được tìm thấy trong cơ sở dữ liệu MySQL được lưu trữ trên máy chủ quản lý Tier 3. Máy chủ này được quản lý thông qua ứng dụng Sparrow, được sử dụng để kiểm soát botnet và máy chủ C2 và bao gồm một mô-đun để khai thác mạng máy tính bằng cả lỗ hổng đã biết và lỗ hổng zero-day.