Cotització de descompte per a múltiples llicències
Seguretat informàtica El grup d'espionatge cibernètic xinès llança la xarxa de...

El grup d'espionatge cibernètic xinès llança la xarxa de bots de Raptor Train, dirigida als militars dels EUA i de Taiwan

El Mura el Seguretat informàtica
Traduir a:
Català

En un desenvolupament impactant, els experts en ciberseguretat han descobert una operació massiva de botnets orquestrada per un grup d'espionatge patrocinat per l'estat xinès. Aquesta botnet, amb el nom en codi Raptor Train , ha compromès centenars de milers de dispositius d'oficina/oficina a casa (SOHO) i Internet de les coses (IoT), posant en risc la infraestructura crítica als EUA i Taiwan. La botnet s'adreça principalment a sectors com l'exèrcit, el govern, l'educació superior, les telecomunicacions i les bases industrials de defensa.

Raptor Train és una amenaça de diversos nivells

Segons un informe de Black Lotus Labs, el braç de recerca de Lumen Technologies, la botnet va ser construïda pel grup de pirateria xinès conegut com Flax Typhoon . Aquest grup d'amenaça persistent avançada (APT) és famós per infiltrar-se a les organitzacions taiwaneses alhora que manté el sigil mitjançant l'ús de programari maliciós mínim i eines de programari legítimes. Black Lotus Labs calcula que la xarxa de bots ha infectat més de 200.000 dispositius des de la seva creació el maig de 2020. En el seu punt àlgid, a mitjans de 2023, més de 60.000 dispositius estaven activament compromesos.

La infraestructura de comandament i control (C2) darrere de la botnet és molt sofisticada. El backend funciona amb una plataforma Node.js centralitzada, mentre que una eina frontal multiplataforma anomenada Sparrow gestiona els dispositius compromesos. Sparrow està dissenyat per executar ordres de forma remota, gestionar vulnerabilitats, facilitar la transferència de fitxers i, potencialment, llançar atacs de denegació de servei distribuïts (DDoS). Tanmateix, encara no s'ha informat cap activitat DDoS des de la botnet.

Explotació de dispositius IoT per a l'espionatge

La xarxa de bots Raptor Train es divideix en tres nivells. El nivell 1 consta de dispositius IoT compromesos, com ara encaminadors, mòdems, càmeres IP i sistemes d'emmagatzematge connectat a la xarxa (NAS). Aquests dispositius giren constantment i es mantenen actius durant una mitjana de 17 dies abans de ser substituïts. El nivell 2 és responsable dels servidors d'explotació i els nodes C2, mentre que el nivell 3 gestiona la xarxa mitjançant la plataforma Sparrow .

Més de 20 tipus diferents de dispositius, inclosos mòdems d'ActionTec, ASUS i DrayTek Vigor, juntament amb càmeres IP de D-Link, Hikvision i Panasonic, s'estan explotant amb una combinació de vulnerabilitats conegudes i de dia zero. El programari maliciós que alimenta els nodes de nivell 1, anomenat Nosedive , és una variant de l'infame implant Mirai. Nosedive funciona completament a la memòria, cosa que fa que sigui extremadament difícil de detectar i infecta una àmplia gamma de dispositius, inclosos els que tenen arquitectures MIPS, ARM, SuperH i PowerPC.

Orientació a la infraestructura crítica dels EUA i Taiwan

La botnet ha analitzat àmpliament i s'ha orientat a sectors militars i governamentals clau dels EUA, així com a organitzacions de la base industrial de defensa (DIB). Els investigadors de Black Lotus Labs han observat l'activitat de botnets destinada a explotar programari vulnerable com els servidors Atlassian Confluence i els aparells Ivanti Connect Secure, amb un enfocament als EUA i Taiwan.

En un cas, els operadors de botnets van apuntar a una agència governamental a Kazakhstan, il·lustrant l'abast global de l'operació Raptor Train. Els atacs es basen en eines personalitzades i tècniques avançades, cosa que dificulta identificar i neutralitzar la botnet.

Compliment de la llei i resposta de la indústria

En resposta a l'amenaça que suposa la xarxa de bots Raptor Train, Black Lotus Labs ha encaminat el trànsit nul des de nodes i infraestructura de botnets coneguts. Les agències d'aplicació de la llei nord-americanes estan treballant activament per desmantellar la botnet, que continua sent una amenaça imminent per a la infraestructura crítica a tot el món.

Tot i que l'objectiu principal de la botnet és l'espionatge, la seva capacitat per a l'execució d'ordres remots i la gestió de vulnerabilitats planteja preocupacions sobre possibles atacs DDoS o altres activitats disruptives. A mesura que la comunitat de ciberseguretat segueix supervisant i mitigant aquesta amenaça, les organitzacions dels Estats Units i Taiwan han de mantenir-se vigilants per protegir els seus dispositius i xarxes IoT contra una major explotació.

El descobriment de la botnet Raptor Train serveix com un recordatori clar de la vulnerabilitat dels dispositius IoT al món interconnectat actual. Amb els grups d'espionatge cibernètic xinesos dirigits a sectors crítics dels Estats Units i Taiwan, mantenir mesures de ciberseguretat sòlides mai ha estat tan important. Les organitzacions haurien d'assegurar-se que les seves xarxes i dispositius es peguen i s'actualitzen regularment per defensar-se d'aquesta sofisticada xarxa de bots.

Aportacions clau :

  • El grup APT Flax Typhoon ha construït la xarxa de bots Raptor Train, dirigida a entitats governamentals i militars dels EUA i Taiwan.
  • S'han infectat més de 200.000 dispositius IoT, centrats en encaminadors, mòdems, càmeres IP i sistemes NAS.
  • La infraestructura de la botnet és robusta, utilitza eines avançades com la plataforma Sparrow per a la gestió i explotació remota.
  • Les forces de l'ordre dels EUA estan treballant activament per neutralitzar la infraestructura de la botnet.

    • Si entenem les tàctiques i els objectius de grups com Flax Typhoon, podem protegir millor la nostra infraestructura crítica de futures amenaces cibernètiques.

    Carregant...