Hiina küberspionaažirühm vabastab Raptor rongide robotvõrgu, sihikule USA ja Taiwani sõjaväelastele
Šokeeriva arengu käigus on küberjulgeolekueksperdid avastanud tohutu botnetioperatsiooni, mille korraldas Hiina riiklikult toetatud spionaažirühm. See botnet, koodnimega Raptor Train , on ohustanud sadu tuhandeid väikeseid kontori-/kodukontori (SOHO) ja asjade Interneti (IoT) seadmeid, seades ohtu USA ja Taiwani kriitilise infrastruktuuri. Botivõrk on peamiselt suunatud sellistele sektoritele nagu sõjavägi, valitsus, kõrgharidus, telekommunikatsioon ja kaitsetööstuse baasid.
Sisukord
Raptor Train on mitmetasandiline oht
Lumen Technologiesi uurimisüksuse Black Lotus Labsi raporti kohaselt ehitas botneti Hiina häkkimisrühmitus, mida tuntakse kui Flax Typhoon . See Advanced Persistent Threat (APT) rühm on kurikuulus selle poolest, et tungib Taiwani organisatsioonidesse, kasutades samal ajal vargsi, kasutades minimaalselt pahavara ja seaduslikke tarkvaratööriistu. Black Lotus Labsi hinnangul on robotvõrk nakatanud üle 200 000 seadme alates selle loomisest 2020. aasta mais. Tippajal, 2023. aasta keskel, ohustati aktiivselt enam kui 60 000 seadet.
Botivõrgu taga olev käsu-ja juhtimise (C2) infrastruktuur on väga keerukas. Taustaprogrammi toiteallikaks on tsentraliseeritud Node.js platvorm, samas kui platvormideülene esiotsa tööriist nimega Sparrow haldab ohustatud seadmeid. Sparrow on loodud käskude kaugjuhtimiseks, turvaaukude haldamiseks, failiedastuse hõlbustamiseks ja potentsiaalselt hajutatud teenusekeelu (DDoS) rünnakute käivitamiseks. Siiski ei ole robotvõrgust veel teatatud DDoS-i tegevusest.
IoT-seadmete kasutamine spionaažiks
Raptor Train botnet on jagatud kolmeks astmeks. 1. tase koosneb ohustatud asjade Interneti-seadmetest, nagu ruuterid, modemid, IP-kaamerad ja võrguga ühendatud salvestussüsteemid (NAS). Neid seadmeid pööratakse pidevalt, jäädes enne väljavahetamist aktiivseks keskmiselt 17 päeva. Tase 2 vastutab ekspluateerimisserverite ja C2 sõlmede eest, samas kui 3. tase haldab võrku Sparrow platvormi kaudu.
Rohkem kui 20 erinevat tüüpi seadet, sealhulgas ActionTeci, ASUSe ja DrayTek Vigori modemeid, ning D-Linki, Hikvisioni ja Panasonicu IP-kaameraid kasutatakse ära, kasutades nullpäeva ja teadaolevaid turvaauke. Tier 1 sõlmede toiteks olev pahavara, nimega Nosedive , on kurikuulsa Mirai implantaadi variant. Nosedive töötab täielikult mälus, muutes selle tuvastamise äärmiselt keeruliseks ja nakatab paljusid seadmeid, sealhulgas MIPS-, ARM-, SuperH- ja PowerPC-arhitektuuriga seadmeid.
USA ja Taiwani kriitilise infrastruktuuri sihtimine
Botivõrk on laialdaselt skaneerinud ja sihikule võtnud USA peamisi sõjalisi ja valitsussektoreid ning kaitsetööstusbaasi (DIB) organisatsioone. Black Lotus Labsi teadlased on täheldanud botnettide tegevust, mille eesmärk on kasutada haavatavat tarkvara, nagu Atlassian Confluence'i serverid ja Ivanti Connect Secure'i seadmed, keskendudes USA-le ja Taiwanile.
Ühel juhul võtsid botnetioperaatorid sihikule Kasahstani valitsusasutuse, illustreerides Raptor Train operatsiooni ülemaailmset ulatust. Rünnakud põhinevad kohandatud tööriistadel ja täiustatud tehnikatel, mistõttu on robotivõrgu tuvastamine ja neutraliseerimine keeruline.
Õiguskaitse ja tööstuse reaktsioon
Vastuseks Raptor Train botneti ohule on Black Lotus Labs nullinud liikluse teadaolevatest robotivõrgu sõlmedest ja infrastruktuurist. USA õiguskaitseorganid töötavad aktiivselt botneti lammutamiseks, mis on jätkuvalt ähvardav oht kriitilisele infrastruktuurile kogu maailmas.
Kuigi botneti põhirõhk on spionaažil, tekitab selle kaugkäskude täitmise ja haavatavuse haldamise võime muret võimalike DDoS-i rünnakute või muude häirivate tegevuste pärast. Kuna küberjulgeoleku kogukond jätkab selle ohu jälgimist ja leevendamist, peavad organisatsioonid üle USA ja Taiwani jääma valvsaks oma asjade Interneti-seadmete ja võrkude kaitsmisel edasise ärakasutamise eest.
Raptor Train botneti avastamine on terav meeldetuletus asjade Interneti-seadmete haavatavusest tänapäevases omavahel ühendatud maailmas. Kuna Hiina küberspionaažirühmitused sihivad USA ja Taiwani kriitilisi sektoreid, pole tugevate küberjulgeolekumeetmete säilitamine kunagi olnud olulisem. Organisatsioonid peaksid tagama, et nende võrke ja seadmeid parandatakse korrapäraselt ja värskendatakse, et kaitsta end selle keeruka robotivõrgu vastu.
Peamised pakkumised :
- APT grupp Flax Typhoon on loonud botneti Raptor Train, mis on suunatud USA ja Taiwani sõjaväe- ja valitsusüksustele.
- Nakatunud on üle 200 000 IoT-seadme, keskendudes ruuteritele, modemitele, IP-kaameratele ja NAS-süsteemidele.
Mõistes selliste rühmade nagu Flax Typhoon taktikat ja sihtmärke, saame paremini kaitsta oma kriitilist infrastruktuuri tulevaste küberohtude eest.