Η κινεζική ομάδα κατασκοπείας στον κυβερνοχώρο απελευθερώνει το Botnet Train Raptor, στοχεύοντας στρατιώτες των ΗΠΑ και της Ταϊβάν
Σε μια συγκλονιστική εξέλιξη, ειδικοί στον τομέα της κυβερνοασφάλειας αποκάλυψαν μια τεράστια επιχείρηση botnet που ενορχηστρώθηκε από μια κινεζική ομάδα κατασκοπείας που χρηματοδοτείται από το κράτος. Αυτό το botnet, με την κωδική ονομασία Raptor Train , έχει θέσει σε κίνδυνο εκατοντάδες χιλιάδες συσκευές μικρού γραφείου/οικιακού γραφείου (SOHO) και Internet of Things (IoT), θέτοντας σε κίνδυνο κρίσιμες υποδομές στις ΗΠΑ και την Ταϊβάν. Το botnet στοχεύει κυρίως τομείς όπως ο στρατός, η κυβέρνηση, η τριτοβάθμια εκπαίδευση, οι τηλεπικοινωνίες και οι αμυντικές βιομηχανικές βάσεις.
Πίνακας περιεχομένων
Το Raptor Train είναι μια απειλή πολλαπλών επιπέδων
Σύμφωνα με μια έκθεση της Black Lotus Labs, του ερευνητικού βραχίονα της Lumen Technologies, το botnet κατασκευάστηκε από την κινεζική ομάδα hacking γνωστή ως Flax Typhoon . Αυτή η ομάδα Advanced Persistent Threat (APT) είναι διαβόητη για διείσδυση σε οργανισμούς της Ταϊβάν, ενώ διατηρεί μυστικότητα χρησιμοποιώντας ελάχιστο κακόβουλο λογισμικό και νόμιμα εργαλεία λογισμικού. Η Black Lotus Labs εκτιμά ότι το botnet έχει μολύνει περισσότερες από 200.000 συσκευές από την έναρξή του, τον Μάιο του 2020. Στο αποκορύφωμά του, στα μέσα του 2023, περισσότερες από 60.000 συσκευές παραβιάστηκαν ενεργά.
Η υποδομή εντολών και ελέγχου (C2) πίσω από το botnet είναι εξαιρετικά εξελιγμένη. Το backend τροφοδοτείται από μια κεντρική πλατφόρμα Node.js, ενώ ένα εργαλείο διεπαφής μεταξύ πλατφορμών που ονομάζεται Sparrow διαχειρίζεται τις παραβιασμένες συσκευές. Το Sparrow έχει σχεδιαστεί για να εκτελεί εντολές εξ αποστάσεως, να διαχειρίζεται τρωτά σημεία, να διευκολύνει τις μεταφορές αρχείων και, ενδεχομένως, να εκτελεί επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS). Ωστόσο, δεν έχει αναφερθεί ακόμη δραστηριότητα DDoS από το botnet.
Εκμετάλλευση συσκευών IoT για κατασκοπεία
Το botnet Raptor Train χωρίζεται σε τρία επίπεδα. Το Tier 1 αποτελείται από παραβιασμένες συσκευές IoT, όπως δρομολογητές, μόντεμ, κάμερες IP και συστήματα αποθήκευσης που συνδέονται με το δίκτυο (NAS). Αυτές οι συσκευές περιστρέφονται συνεχώς, παραμένοντας ενεργές κατά μέσο όρο 17 ημέρες πριν αντικατασταθούν. Το Tier 2 είναι υπεύθυνο για τους διακομιστές εκμετάλλευσης και τους κόμβους C2, ενώ το Tier 3 διαχειρίζεται το δίκτυο μέσω της πλατφόρμας Sparrow .
Περισσότεροι από 20 διαφορετικοί τύποι συσκευών, συμπεριλαμβανομένων των μόντεμ από τις ActionTec, ASUS και DrayTek Vigor, μαζί με κάμερες IP από τις D-Link, Hikvision και Panasonic, αποτελούν αντικείμενο εκμετάλλευσης χρησιμοποιώντας έναν συνδυασμό μηδενικών ημερών και γνωστών τρωτών σημείων. Το κακόβουλο λογισμικό που τροφοδοτεί τους κόμβους Tier 1, που ονομάζεται Nosedive , είναι μια παραλλαγή του περίφημου εμφυτεύματος Mirai. Το Nosedive λειτουργεί εξ ολοκλήρου στη μνήμη, καθιστώντας εξαιρετικά δύσκολο τον εντοπισμό του και μολύνει ένα ευρύ φάσμα συσκευών, συμπεριλαμβανομένων εκείνων με αρχιτεκτονικές MIPS, ARM, SuperH και PowerPC.
Στόχευση κρίσιμης υποδομής των ΗΠΑ και της Ταϊβάν
Το botnet έχει σαρώσει εκτενώς και στοχεύει βασικούς στρατιωτικούς και κυβερνητικούς τομείς των ΗΠΑ, καθώς και οργανισμούς εντός της αμυντικής βιομηχανικής βάσης (DIB). Ερευνητές στο Black Lotus Labs παρατήρησαν δραστηριότητα botnet που στοχεύει στην εκμετάλλευση ευάλωτου λογισμικού όπως οι διακομιστές Atlassian Confluence και οι συσκευές Ivanti Connect Secure, με έμφαση στις ΗΠΑ και την Ταϊβάν.
Σε μια περίπτωση, οι χειριστές botnet στόχευσαν μια κυβερνητική υπηρεσία στο Καζακστάν, απεικονίζοντας την παγκόσμια εμβέλεια της λειτουργίας Raptor Train. Οι επιθέσεις βασίζονται σε προσαρμοσμένα εργαλεία και προηγμένες τεχνικές, γεγονός που καθιστά δύσκολο τον εντοπισμό και την εξουδετέρωση του botnet.
Επιβολή του Νόμου και Αντίδραση Βιομηχανίας
Ως απάντηση στην απειλή που θέτει το botnet Raptor Train, η Black Lotus Labs έχει μηδενική δρομολόγηση κίνησης από γνωστούς κόμβους και υποδομές botnet. Οι υπηρεσίες επιβολής του νόμου των ΗΠΑ εργάζονται ενεργά για την εξάρθρωση του botnet, το οποίο παραμένει μια διαφαινόμενη απειλή για τις υποδομές ζωτικής σημασίας παγκοσμίως.
Ενώ ο κύριος στόχος του botnet είναι η κατασκοπεία, η ικανότητά του για απομακρυσμένη εκτέλεση εντολών και διαχείριση ευπάθειας εγείρει ανησυχίες σχετικά με πιθανές επιθέσεις DDoS ή άλλες διασπαστικές δραστηριότητες. Καθώς η κοινότητα της κυβερνοασφάλειας συνεχίζει να παρακολουθεί και να μετριάζει αυτήν την απειλή, οι οργανισμοί σε όλες τις ΗΠΑ και την Ταϊβάν πρέπει να παραμείνουν σε επαγρύπνηση για την ασφάλεια των συσκευών και των δικτύων IoT τους από περαιτέρω εκμετάλλευση.
Η ανακάλυψη του botnet Raptor Train χρησιμεύει ως μια έντονη υπενθύμιση της ευπάθειας των συσκευών IoT στον σημερινό διασυνδεδεμένο κόσμο. Καθώς οι κινεζικές ομάδες κατασκοπείας στον κυβερνοχώρο στοχεύουν κρίσιμους τομείς των ΗΠΑ και της Ταϊβάν, η διατήρηση ισχυρών μέτρων κυβερνοασφάλειας δεν ήταν ποτέ πιο σημαντική. Οι οργανισμοί θα πρέπει να διασφαλίζουν ότι τα δίκτυα και οι συσκευές τους επιδιορθώνονται και ενημερώνονται τακτικά για να αμύνονται έναντι αυτού του εξελιγμένου botnet.
Βασικά συμπεράσματα :
- Ο όμιλος APT Flax Typhoon έχει κατασκευάσει το botnet Raptor Train, στοχεύοντας στρατιωτικούς και κυβερνητικούς φορείς των ΗΠΑ και της Ταϊβάν.
- Πάνω από 200.000 συσκευές IoT έχουν μολυνθεί, με έμφαση σε δρομολογητές, μόντεμ, κάμερες IP και συστήματα NAS.
Κατανοώντας τις τακτικές και τους στόχους ομάδων όπως το Flax Typhoon, μπορούμε να προστατεύσουμε καλύτερα την κρίσιμη υποδομή μας από μελλοντικές απειλές στον κυβερνοχώρο.