Slevová nabídka pro více licencí
Počítačová bezpečnost Čínská kybernetická špionážní skupina spustila botnet...

Čínská kybernetická špionážní skupina spustila botnet Raptor Train, zaměřený na americké a tchajwanské armády

V roce Mura v roce Počítačová bezpečnost
Přeložit do:
Čeština

V šokujícím vývoji odhalili odborníci na kybernetickou bezpečnost masivní botnetovou operaci řízenou čínskou státem sponzorovanou špionážní skupinou. Tento botnet s kódovým označením Raptor Train kompromitoval stovky tisíc malých kanceláří/domácích kanceláří (SOHO) a zařízení pro internet věcí (IoT), čímž ohrozil kritickou infrastrukturu v USA a na Tchaj-wanu. Botnet se primárně zaměřuje na sektory, jako je armáda, vláda, vysokoškolské vzdělávání, telekomunikace a obranné průmyslové základny.

Vlak Raptor je víceúrovňová hrozba

Podle zprávy Black Lotus Labs, výzkumné pobočky Lumen Technologies, botnet vytvořila čínská hackerská skupina známá jako Flax Typhoon . Tato skupina Advanced Persistent Threat (APT) je nechvalně známá tím, že infiltruje tchajwanské organizace při zachování utajení pomocí minimálního malwaru a legitimních softwarových nástrojů. Black Lotus Labs odhaduje, že botnet od svého založení v květnu 2020 infikoval přes 200 000 zařízení. Na vrcholu, v polovině roku 2023, bylo aktivně kompromitováno více než 60 000 zařízení.

Infrastruktura příkazů a řízení (C2) za botnetem je vysoce sofistikovaná. Backend je poháněn centralizovanou platformou Node.js, zatímco multiplatformní front-endový nástroj s názvem Sparrow spravuje napadená zařízení. Sparrow je navržen tak, aby spouštěl příkazy na dálku, spravoval zranitelná místa, usnadňoval přenos souborů a případně spouštěl distribuované útoky typu denial-of-service (DDoS). Z botnetu však zatím nebyla hlášena žádná DDoS aktivita.

Využívání zařízení IoT pro špionáž

Botnet Raptor Train je rozdělen do tří úrovní. Úroveň 1 se skládá z kompromitovaných zařízení IoT, jako jsou směrovače, modemy, IP kamery a systémy NAS (Network-Attached Storage). Tato zařízení se neustále otáčí a zůstávají aktivní v průměru 17 dní, než budou vyměněna. Úroveň 2 je zodpovědná za servery pro využívání a uzly C2, zatímco úroveň 3 spravuje síť prostřednictvím platformy Sparrow .

Více než 20 různých typů zařízení, včetně modemů od společností ActionTec, ASUS a DrayTek Vigor, spolu s IP kamerami od D-Link, Hikvision a Panasonic, je využíváno pomocí kombinace zero-day a známých zranitelností. Malware napájející uzly Tier 1, přezdívaný Nosedive , je variantou nechvalně známého implantátu Mirai. Nosedive funguje výhradně v paměti, takže je extrémně obtížné jej detekovat a infikuje širokou škálu zařízení, včetně těch s architekturami MIPS, ARM, SuperH a PowerPC.

Cílení na kritickou infrastrukturu USA a Tchaj-wanu

Botnet rozsáhle skenuje a zaměřuje se na klíčové americké vojenské a vládní sektory, stejně jako na organizace v rámci obranné průmyslové základny (DIB). Výzkumníci z Black Lotus Labs pozorovali aktivitu botnetů zaměřených na zneužívání zranitelného softwaru, jako jsou servery Atlassian Confluence a zařízení Ivanti Connect Secure, se zaměřením na USA a Tchaj-wan.

V jednom případě se provozovatelé botnetů zaměřili na vládní agenturu v Kazachstánu, což dokládá globální dosah operace Raptor Train. Útoky se spoléhají na vlastní nástroje a pokročilé techniky, což ztěžuje identifikaci a neutralizaci botnetu.

Vymáhání práva a reakce průmyslu

V reakci na hrozbu, kterou představuje botnet Raptor Train, Black Lotus Labs zrušilo směrování provozu ze známých uzlů botnetů a infrastruktury. Americké orgány činné v trestním řízení aktivně pracují na odstranění botnetu, který zůstává hrozbou pro kritickou infrastrukturu po celém světě.

I když je botnet primárně zaměřen na špionáž, jeho schopnost vzdáleného provádění příkazů a správy zranitelnosti vyvolává obavy z potenciálních DDoS útoků nebo jiných rušivých aktivit. Vzhledem k tomu, že komunita kybernetické bezpečnosti pokračuje ve sledování a zmírňování této hrozby, organizace v USA a Tchaj-wanu musí zůstat ostražité při zabezpečení svých zařízení a sítí IoT proti dalšímu zneužívání.

Objev botnetu Raptor Train slouží jako ostrá připomínka zranitelnosti IoT zařízení v dnešním propojeném světě. Vzhledem k tomu, že čínské kybernetické špionážní skupiny se zaměřují na kritické sektory USA a Tchaj-wanu, udržování přísných opatření v oblasti kybernetické bezpečnosti nebylo nikdy důležitější. Organizace by měly zajistit, aby jejich sítě a zařízení byly pravidelně opravovány a aktualizovány, aby se mohly bránit tomuto sofistikovanému botnetu.

Klíčové poznatky :

  • Skupina APT Flax Typhoon zkonstruovala botnet Raptor Train zaměřený na americké a tchajwanské vojenské a vládní subjekty.
  • Bylo infikováno více než 200 000 zařízení IoT se zaměřením na směrovače, modemy, IP kamery a systémy NAS.
  • Infrastruktura botnetu je robustní a využívá pokročilé nástroje, jako je platforma Sparrow pro vzdálenou správu a využívání.
  • Americké orgány činné v trestním řízení aktivně pracují na neutralizaci infrastruktury botnetu.

    • Pochopením taktiky a cílů skupin, jako je Flax Typhoon, můžeme lépe chránit naši kritickou infrastrukturu před budoucími kybernetickými hrozbami.

    Načítání...