中国网络间谍组织释放猛禽列车僵尸网络，针对美国和台湾军队

令人震惊的是，网络安全专家发现了一个由中国政府支持的间谍组织策划的大规模僵尸网络行动。这个代号为Raptor Train 的僵尸网络已经感染了数十万个小型办公室/家庭办公室 (SOHO) 和物联网 (IoT) 设备，使美国和台湾的关键基础设施面临风险。该僵尸网络主要针对军事、政府、高等教育、电信和国防工业基地等部门。

猛禽列车是一种多层次威胁

根据 Lumen Technologies 研究部门 Black Lotus Labs 的报告，该僵尸网络是由名为Flax Typhoon 的中国黑客组织构建的。这个高级持续性威胁 (APT) 组织因使用最少的恶意软件和合法软件工具在隐身的情况下渗透台湾组织而臭名昭著。Black Lotus Labs 估计，自 2020 年 5 月成立以来，该僵尸网络已感染了超过 200,000 台设备。在 2023 年中期的高峰期，有超过 60,000 台设备遭到主动攻击。

僵尸网络背后的命令和控制 (C2) 基础设施非常复杂。后端由集中式 Node.js 平台提供支持，而名为Sparrow的跨平台前端工具则负责管理受感染的设备。Sparrow 旨在远程执行命令、管理漏洞、促进文件传输，并可能发起分布式拒绝服务 (DDoS) 攻击。但是，目前尚未有来自僵尸网络的 DDoS 活动报告。

利用物联网设备进行间谍活动

Raptor Train 僵尸网络分为三个层级。第 1 层由受感染的 IoT 设备组成，例如路由器、调制解调器、IP 摄像头和网络附加存储 (NAS) 系统。这些设备不断轮换，平均活跃 17 天后才会被替换。第 2 层负责利用服务器和 C2 节点，而第 3 层通过Sparrow平台管理网络。

超过 20 种不同类型的设备，包括 ActionTec、ASUS 和 DrayTek Vigor 的调制解调器，以及 D-Link、Hikvision 和 Panasonic 的 IP 摄像头，都正在被利用零日漏洞和已知漏洞进行攻击。驱动第 1 层节点的恶意软件被称为Nosedive ，是臭名昭著的 Mirai 植入程序的一个变种。Nosedive 完全在内存中运行，因此极难检测到，并感染各种设备，包括采用 MIPS、ARM、 SuperH和 PowerPC 架构的设备。

瞄准美国和台湾的关键基础设施

该僵尸网络一直在广泛扫描和攻击美国关键军事和政府部门以及国防工业基地 (DIB) 内的组织。Black Lotus 实验室的研究人员观察到僵尸网络活动旨在利用 Atlassian Confluence 服务器和 Ivanti Connect Secure 设备等易受攻击的软件，重点关注美国和台湾。

有一次，僵尸网络运营商针对哈萨克斯坦的一个政府机构发起攻击，这表明 Raptor Train 行动的影响力遍及全球。这些攻击依赖于定制工具和先进技术，因此很难识别和消灭僵尸网络。

执法部门和行业响应

为了应对 Raptor Train 僵尸网络带来的威胁，Black Lotus Labs 已将来自已知僵尸网络节点和基础设施的流量路由为空。美国执法机构正在积极努力摧毁该僵尸网络，该网络仍然是全球关键基础设施面临的迫在眉睫的威胁。

虽然僵尸网络的主要目的是进行间谍活动，但其远程命令执行和漏洞管理能力引发了人们对潜在 DDoS 攻击或其他破坏性活动的担忧。随着网络安全社区继续监控和缓解这一威胁，美国和台湾的组织必须保持警惕，保护其物联网设备和网络免受进一步攻击。

Raptor Train 僵尸网络的发现，清楚地提醒人们在当今互联世界中，物联网设备的脆弱性。由于中国网络间谍组织瞄准美国和台湾的关键部门，保持强大的网络安全措施从未如此重要。组织应确保其网络和设备定期修补和更新，以防御这种复杂的僵尸网络。

关键要点：

• APT 组织 Flax Typhoon 构建了 Raptor Train 僵尸网络，针对美国和台湾的军事和政府实体。
• 超过 200,000 台物联网设备受到感染，主要集中在路由器、调制解调器、IP 摄像头和 NAS 系统。

通过了解 Flax Typhoon 等组织的策略和目标，我们可以更好地保护我们的关键基础设施免受未来的网络威胁。