Китайска група за кибершпионаж отприщи ботнет Raptor Train, насочен към армията на САЩ и Тайван
В шокиращо развитие експертите по киберсигурност разкриха мащабна ботнет операция , организирана от шпионска група, спонсорирана от китайската държава. Тази ботнет с кодово име Raptor Train е компрометирала стотици хиляди малки офиси/домашен офис (SOHO) и устройства за интернет на нещата (IoT), излагайки на риск критична инфраструктура в САЩ и Тайван. Ботнетът е насочен предимно към сектори като армията, правителството, висшето образование, телекомуникациите и отбранителните индустриални бази.
Съдържание
Raptor Train е многостепенна заплаха
Според доклад на Black Lotus Labs, изследователското звено на Lumen Technologies, ботнетът е изграден от китайската хакерска група, известна като Flax Typhoon . Тази група за усъвършенствана постоянна заплаха (APT) е известна с това, че прониква в тайвански организации, като същевременно поддържа скритост, като използва минимален злонамерен софтуер и легитимни софтуерни инструменти. Black Lotus Labs изчислява, че ботнетът е заразил над 200 000 устройства от създаването си през май 2020 г. В своя пик, в средата на 2023 г., повече от 60 000 устройства са били активно компрометирани.
Инфраструктурата за командване и контрол (C2) зад ботнета е много сложна. Бекендът се захранва от централизирана платформа Node.js, докато междуплатформен преден инструмент, наречен Sparrow, управлява компрометираните устройства. Sparrow е проектиран да изпълнява команди от разстояние, да управлява уязвимости, да улеснява прехвърлянето на файлове и, потенциално, да стартира разпределени атаки за отказ на услуга (DDoS). Все още обаче не е докладвана DDoS активност от ботнета.
Използване на IoT устройства за шпионаж
Ботнетът Raptor Train е разделен на три нива. Ниво 1 се състои от компрометирани IoT устройства като рутери, модеми, IP камери и системи за съхранение, свързани с мрежата (NAS). Тези устройства непрекъснато се сменят, като остават активни средно 17 дни, преди да бъдат заменени. Ниво 2 е отговорно за сървърите за експлоатация и C2 възлите, докато ниво 3 управлява мрежата чрез платформата Sparrow .
Повече от 20 различни типа устройства, включително модеми от ActionTec, ASUS и DrayTek Vigor, заедно с IP камери от D-Link, Hikvision и Panasonic, се експлоатират чрез комбинация от нулеви и известни уязвимости. Зловреден софтуер, захранващ възлите от ниво 1, наречен Nosedive , е вариант на скандалния имплант Mirai. Nosedive работи изцяло в паметта, което го прави изключително трудно за откриване и заразява широка гама от устройства, включително такива с MIPS, ARM, SuperH и PowerPC архитектури.
Насочване към критична инфраструктура на САЩ и Тайван
Ботнетът обстойно сканира и се насочва към ключови американски военни и правителствени сектори, както и организации в рамките на отбранителната индустриална база (DIB). Изследователи от Black Lotus Labs са наблюдавали ботнет дейност, насочена към експлоатиране на уязвим софтуер като Atlassian Confluence сървъри и Ivanti Connect Secure устройства, с фокус върху САЩ и Тайван.
В един случай операторите на ботнет се насочиха към правителствена агенция в Казахстан, което илюстрира глобалния обхват на операцията Raptor Train. Атаките разчитат на персонализирани инструменти и усъвършенствани техники, което затруднява идентифицирането и неутрализирането на ботнета.
Реакция на правоприлагащите органи и индустрията
В отговор на заплахата, породена от ботнета Raptor Train, Black Lotus Labs разполага с нулев маршрут на трафик от известни възли и инфраструктура на ботнет. Правоприлагащите органи на САЩ работят активно за демонтирането на ботнет, който остава надвиснала заплаха за критичната инфраструктура в световен мащаб.
Докато основният фокус на ботнета е шпионажът, способността му за дистанционно изпълнение на команди и управление на уязвимости поражда опасения относно потенциални DDoS атаки или други разрушителни дейности. Тъй като общността за киберсигурност продължава да наблюдава и смекчава тази заплаха, организациите в САЩ и Тайван трябва да останат бдителни при осигуряването на своите IoT устройства и мрежи срещу по-нататъшна експлоатация.
Откриването на ботнета Raptor Train служи като ярко напомняне за уязвимостта на IoT устройствата в днешния взаимосвързан свят. С китайските групи за кибершпионаж, насочени към критични сектори на САЩ и Тайван, поддържането на силни мерки за киберсигурност никога не е било по-важно. Организациите трябва да се уверят, че техните мрежи и устройства редовно се пачват и актуализират, за да се защитят срещу тази сложна ботнет мрежа.
Ключови изводи :
- APT групата Flax Typhoon е изградила ботнет Raptor Train, насочен към военни и правителствени организации на САЩ и Тайван.
- Над 200 000 IoT устройства са били заразени, с акцент върху рутери, модеми, IP камери и NAS системи.
Като разберем тактиките и целите на групи като Flax Typhoon, можем по-добре да защитим нашата критична инфраструктура от бъдещи киберзаплахи.