Rabattilbud med flere licenser
Computersikkerhed Kinesisk cyberspionagegruppe frigiver Raptor Train...

Kinesisk cyberspionagegruppe frigiver Raptor Train Botnet, rettet mod amerikanske og taiwanske militær

Med Mura i Computersikkerhed
Oversæt til:
Dansk

I en chokerende udvikling har cybersikkerhedseksperter afsløret en massiv botnet-operation orkestreret af en kinesisk statssponsoreret spionagegruppe. Dette botnet, kodenavnet Raptor Train , har kompromitteret hundredtusindvis af små kontor/hjemmekontorer (SOHO) og Internet of Things (IoT) enheder, hvilket sætter kritisk infrastruktur i USA og Taiwan i fare. Botnettet retter sig primært mod sektorer som militær, regering, videregående uddannelse, telekommunikation og forsvarsindustrielle baser.

Raptor-tog er en trussel på flere niveauer

Ifølge en rapport fra Black Lotus Labs, Lumen Technologies' forskningsarm, blev botnettet bygget af den kinesiske hackergruppe kendt som Flax Typhoon . Denne Advanced Persistent Threat (APT)-gruppe er berygtet for at infiltrere taiwanske organisationer og samtidig bevare stealth ved at bruge minimal malware og legitime softwareværktøjer. Black Lotus Labs anslår, at botnettet har inficeret over 200.000 enheder siden starten i maj 2020. På sit højeste, i midten af 2023, blev mere end 60.000 enheder aktivt kompromitteret.

Kommando-og-kontrol-infrastrukturen (C2) bag botnettet er meget sofistikeret. Backend er drevet af en centraliseret Node.js platform, mens et cross-platform front-end værktøj kaldet Sparrow administrerer de kompromitterede enheder. Sparrow er designet til at udføre kommandoer eksternt, administrere sårbarheder, lette filoverførsler og potentielt starte distribuerede denial-of-service (DDoS)-angreb. Der er dog endnu ikke rapporteret om DDoS-aktivitet fra botnettet.

Udnyttelse af IoT-enheder til spionage

Raptor Train-botnettet er opdelt i tre niveauer. Tier 1 består af kompromitterede IoT-enheder såsom routere, modemer, IP-kameraer og netværkstilsluttede lagersystemer (NAS). Disse enheder roteres konstant og forbliver aktive i gennemsnitligt 17 dage, før de udskiftes. Tier 2 er ansvarlig for udnyttelsesservere og C2-noder, mens Tier 3 administrerer netværket via Sparrow -platformen.

Mere end 20 forskellige typer enheder, inklusive modemer fra ActionTec, ASUS og DrayTek Vigor, sammen med IP-kameraer fra D-Link, Hikvision og Panasonic, bliver udnyttet ved hjælp af en blanding af zero-day og kendte sårbarheder. Den malware, der driver Tier 1-knuderne, kaldet Nosedive , er en variant af det berygtede Mirai-implantat. Nosedive fungerer udelukkende i hukommelsen, hvilket gør det ekstremt vanskeligt at opdage, og inficerer en lang række enheder, inklusive dem med MIPS, ARM, SuperH og PowerPC arkitekturer.

Målrettet mod kritisk infrastruktur i USA og Taiwan

Botnettet har i vid udstrækning scannet og målrettet vigtige amerikanske militær- og regeringssektorer samt organisationer inden for den forsvarsindustrielle base (DIB). Forskere ved Black Lotus Labs har observeret botnet-aktivitet rettet mod at udnytte sårbar software som Atlassian Confluence-servere og Ivanti Connect Secure-apparater med fokus på USA og Taiwan.

I et tilfælde målrettede botnet-operatørerne sig mod et regeringsagentur i Kasakhstan, hvilket illustrerer den globale rækkevidde af Raptor Train-operationen. Angrebene er afhængige af brugerdefinerede værktøjer og avancerede teknikker, hvilket gør det vanskeligt at identificere og neutralisere botnettet.

Retshåndhævelse og industrireaktion

Som reaktion på truslen fra Raptor Train-botnettet har Black Lotus Labs nul-routet trafik fra kendte botnet-knudepunkter og infrastruktur. Amerikanske retshåndhævende myndigheder arbejder aktivt på at afmontere botnettet, som fortsat er en truende trussel mod kritisk infrastruktur på verdensplan.

Mens botnettets primære fokus er spionage, vækker dets evne til fjernudførelse af kommandoer og sårbarhedsstyring bekymringer om potentielle DDoS-angreb eller andre forstyrrende aktiviteter. Da cybersikkerhedssamfundet fortsætter med at overvåge og afbøde denne trussel, skal organisationer i hele USA og Taiwan forblive på vagt med at sikre deres IoT-enheder og netværk mod yderligere udnyttelse.

Opdagelsen af Raptor Train-botnettet tjener som en skarp påmindelse om sårbarheden af IoT-enheder i nutidens sammenkoblede verden. Med kinesiske cyberspionagegrupper rettet mod kritiske amerikanske og taiwanske sektorer, har det aldrig været vigtigere at opretholde stærke cybersikkerhedsforanstaltninger. Organisationer bør sikre, at deres netværk og enheder regelmæssigt bliver patchet og opdateret for at forsvare sig mod dette sofistikerede botnet.

Nøgle takeaways :

  • APT-gruppen Flax Typhoon har konstrueret Raptor Train-botnet, rettet mod amerikanske og Taiwans militære og regeringsenheder.
  • Over 200.000 IoT-enheder er blevet inficeret, med fokus på routere, modemer, IP-kameraer og NAS-systemer.
  • Botnettets infrastruktur er robust og bruger avancerede værktøjer som Sparrow -platformen til fjernstyring og -udnyttelse.
  • Amerikanske retshåndhævere arbejder aktivt på at neutralisere botnettets infrastruktur.

    • Ved at forstå taktikken og målene for grupper som Flax Typhoon, kan vi bedre beskytte vores kritiske infrastruktur mod fremtidige cybertrusler.

    Indlæser...