گروه جاسوسی سایبری چین بات نت قطار رپتور را راه اندازی کرد و ارتش آمریکا و تایوان را هدف قرار داد
در یک تحول تکان دهنده، کارشناسان امنیت سایبری یک عملیات بات نت عظیم را کشف کردند که توسط یک گروه جاسوسی تحت حمایت دولت چین تنظیم شده بود. این بات نت با نام رمز Raptor Train صدها هزار دستگاه اداری کوچک (SOHO) و اینترنت اشیاء (IoT) را در معرض خطر قرار داده است و زیرساخت های حیاتی در ایالات متحده و تایوان را در معرض خطر قرار داده است. این بات نت عمدتاً بخش هایی مانند ارتش، دولت، آموزش عالی، مخابرات و پایگاه های صنعتی دفاعی را هدف قرار می دهد.
فهرست مطالب
قطار رپتور یک تهدید چند لایه است
طبق گزارش Black Lotus Labs، بازوی تحقیقاتی Lumen Technologies، این بات نت توسط گروه هکر چینی معروف به Flax Typhoon ساخته شده است. این گروه تهدید مداوم پیشرفته (APT) به دلیل نفوذ به سازمانهای تایوانی در عین حفظ مخفی کاری با استفاده از حداقل بدافزار و ابزارهای نرمافزاری قانونی بدنام است. Black Lotus Labs تخمین میزند که این باتنت بیش از 200000 دستگاه را از زمان آغاز به کار خود در می 2020 آلوده کرده است. در اوج خود، در اواسط سال 2023، بیش از 60000 دستگاه به طور فعال در معرض خطر قرار گرفتند.
زیرساخت فرمان و کنترل (C2) در پشت بات نت بسیار پیچیده است. پشتیبان توسط یک پلتفرم متمرکز Node.js تغذیه می شود، در حالی که یک ابزار فرانت اند چند پلتفرمی به نام Sparrow دستگاه های در معرض خطر را مدیریت می کند. Sparrow برای اجرای دستورات از راه دور، مدیریت آسیبپذیریها، تسهیل انتقال فایلها و به طور بالقوه راهاندازی حملات انکار سرویس توزیع شده (DDoS) طراحی شده است. با این حال، هنوز هیچ فعالیت DDoS از بات نت گزارش نشده است.
بهره برداری از دستگاه های IoT برای جاسوسی
بات نت Raptor Train به سه سطح تقسیم می شود. سطح 1 شامل دستگاه های اینترنت اشیا در معرض خطر مانند روترها، مودم ها، دوربین های IP و سیستم های ذخیره سازی متصل به شبکه (NAS) است. این دستگاه ها به طور مداوم در حال چرخش هستند و قبل از تعویض به طور متوسط 17 روز فعال می مانند. Tier 2 مسئول سرورهای بهره برداری و گره های C2 است، در حالی که Tier 3 شبکه را از طریق پلت فرم Sparrow مدیریت می کند.
بیش از 20 نوع مختلف دستگاه، از جمله مودمهای ActionTec، ASUS، و DrayTek Vigor، به همراه دوربینهای IP از D-Link، Hikvision و Panasonic، با استفاده از ترکیبی از آسیبپذیریهای روز صفر و شناخته شده مورد سوء استفاده قرار میگیرند. بدافزاری که گره های Tier 1 را تغذیه می کند، با نام Nosedive ، گونه ای از ایمپلنت بدنام Mirai است. Nosedive به طور کامل در حافظه کار می کند و تشخیص آن را بسیار دشوار می کند و طیف گسترده ای از دستگاه ها را آلوده می کند، از جمله دستگاه هایی که دارای معماری MIPS، ARM، SuperH و PowerPC هستند.
هدف قرار دادن زیرساخت های حیاتی ایالات متحده و تایوان
این بات نت به طور گسترده در حال اسکن و هدف قرار دادن بخش های کلیدی ارتش و دولتی ایالات متحده و همچنین سازمان های درون پایگاه صنعتی دفاعی (DIB) بوده است. محققان در آزمایشگاههای بلک لوتوس فعالیت باتنت را با هدف بهرهبرداری از نرمافزارهای آسیبپذیر مانند سرورهای Atlassian Confluence و دستگاههای Ivanti Connect Secure با تمرکز بر ایالات متحده و تایوان مشاهده کردهاند.
در یک نمونه، اپراتورهای بات نت یک آژانس دولتی در قزاقستان را هدف قرار دادند که نشان دهنده گستره جهانی عملیات قطار رپتور است. این حملات به ابزارهای سفارشی و تکنیک های پیشرفته متکی هستند که شناسایی و خنثی کردن بات نت را دشوار می کند.
اجرای قانون و واکنش صنعت
در پاسخ به تهدیدی که توسط باتنت Raptor Train ایجاد میشود، Black Lotus Labs ترافیک را از گرههای باتنت و زیرساختهای شناختهشده مسیریابی میکند. سازمان های مجری قانون ایالات متحده به طور فعال در حال از بین بردن بات نت هستند، که همچنان یک تهدید بزرگ برای زیرساخت های حیاتی در سراسر جهان است.
در حالی که تمرکز اصلی باتنت جاسوسی است، توانایی آن برای اجرای فرمان از راه دور و مدیریت آسیبپذیری نگرانیهایی را در مورد حملات بالقوه DDoS یا سایر فعالیتهای مخرب ایجاد میکند. از آنجایی که جامعه امنیت سایبری به نظارت و کاهش این تهدید ادامه میدهد، سازمانها در سراسر ایالات متحده و تایوان باید مراقب امنیت دستگاهها و شبکههای IoT خود در برابر بهرهبرداری بیشتر باشند.
کشف بات نت Raptor Train یادآور آسیب پذیری دستگاه های IoT در دنیای به هم پیوسته امروزی است. با توجه به اینکه گروههای جاسوسی سایبری چین بخشهای حیاتی ایالات متحده و تایوان را هدف قرار میدهند، حفظ اقدامات امنیتی سایبری قوی هرگز مهمتر از این نبوده است. سازمانها باید اطمینان حاصل کنند که شبکهها و دستگاههایشان بهطور مرتب وصلهشده و بهروزرسانی میشوند تا در برابر این باتنت پیچیده دفاع کنند.
نکات کلیدی :
- گروه APT Flax Typhoon بات نت Raptor Train را ساخته است که نهادهای نظامی و دولتی ایالات متحده و تایوان را هدف قرار داده است.
- بیش از 200000 دستگاه IoT با تمرکز بر روترها، مودم ها، دوربین های IP و سیستم های NAS آلوده شده اند.
با درک تاکتیک ها و اهداف گروه هایی مانند Flax Typhoon، می توانیم بهتر از زیرساخت های حیاتی خود در برابر تهدیدات سایبری آینده محافظت کنیم.