Monen lisenssin alennustarjous
Tietokoneturva Kiinan kybervakoiluryhmä vapauttaa Raptor Train...

Kiinan kybervakoiluryhmä vapauttaa Raptor Train -bottiverkon, joka kohdistuu Yhdysvaltain ja Taiwanin armeijaan

Vuonna Mura vuonna Tietokoneturva
Käännä:
Suomi

Järkyttävässä kehityksessä kyberturvallisuusasiantuntijat ovat paljastaneet massiivisen botnet-operaation, jonka on järjestänyt Kiinan valtion tukema vakoiluryhmä. Tämä botnet, koodinimeltään Raptor Train , on vaarantanut satoja tuhansia pieniä toimisto-/kotitoimistoja (SOHO) ja esineiden Internet (IoT) -laitteita, mikä on vaarantanut kriittisen infrastruktuurin Yhdysvalloissa ja Taiwanissa. Bottiverkko on suunnattu ensisijaisesti aloille, kuten armeija, hallitus, korkeakoulutus, televiestintä ja puolustusteollisuus.

Raptor-juna on monitasoinen uhka

Lumen Technologiesin tutkimusosaston Black Lotus Labsin raportin mukaan bottiverkon rakensi kiinalainen hakkerointiryhmä, joka tunnetaan nimellä Flax Typhoon . Tämä Advanced Persistent Threat (APT) -ryhmä on surullisen kuuluisa siitä, että se soluttautuu taiwanilaisiin organisaatioihin ja pysyy salassa käyttämällä mahdollisimman vähän haittaohjelmia ja laillisia ohjelmistotyökaluja. Black Lotus Labs arvioi, että bottiverkko on saastuttanut yli 200 000 laitetta sen perustamisesta lähtien toukokuussa 2020. Huipussaan, vuoden 2023 puolivälissä, yli 60 000 laitetta vaarantui aktiivisesti.

Bottiverkon takana oleva komento- ja ohjausinfrastruktuuri (C2) on erittäin kehittynyt. Taustaa käyttää keskitetty Node.js-alusta, kun taas Sparrow -niminen käyttöliittymätyökalu hallitsee vaarantuneita laitteita. Sparrow on suunniteltu suorittamaan komentoja etänä, hallitsemaan haavoittuvuuksia, helpottamaan tiedostojen siirtoa ja mahdollisesti käynnistämään hajautettuja palvelunestohyökkäyksiä (DDoS). Bottiverkosta ei kuitenkaan ole vielä raportoitu DDoS-toimintaa.

IoT-laitteiden hyödyntäminen vakoilua varten

Raptor Train -botnet on jaettu kolmeen tasoon. Taso 1 koostuu vaarantuneista IoT-laitteista, kuten reitittimistä, modeemeista, IP-kameroista ja verkkoon liitetyistä tallennusjärjestelmistä (NAS). Näitä laitteita pyöritetään jatkuvasti ja ne pysyvät aktiivisina keskimäärin 17 päivää ennen vaihtamista. Taso 2 vastaa hyväksikäyttöpalvelimista ja C2-solmuista, kun taas Taso 3 hallitsee verkkoa Sparrow -alustan kautta.

Yli 20 erilaista laitetta, mukaan lukien ActionTecin, ASUS:n ja DrayTek Vigorin modeemit sekä D-Linkin, Hikvisionin ja Panasonicin IP-kameroita, käytetään hyväksi käyttämällä yhdistelmää nollapäivän ja tunnettuja haavoittuvuuksia. Tier 1 -solmuja käyttävä haittaohjelma, nimeltään Nosedive , on muunnos surullisen kuuluisesta Mirai-implantista. Nosedive toimii kokonaan muistissa, mikä tekee sen havaitsemisesta erittäin vaikeaa ja saastuttaa monenlaisia laitteita, mukaan lukien MIPS-, ARM-, SuperH- ja PowerPC-arkkitehtuurilla varustetut laitteet.

Kohdistus kriittiseen Yhdysvaltojen ja Taiwanin infrastruktuuriin

Bottiverkko on skannannut laajasti ja kohdistanut sen tärkeimpiin Yhdysvaltain sotilas- ja hallintosektoreihin sekä puolustusteollisuuteen (DIB) kuuluviin organisaatioihin. Black Lotus Labsin tutkijat ovat havainneet botnet-toimintaa, jonka tarkoituksena on hyödyntää haavoittuvia ohjelmistoja, kuten Atlassian Confluence -palvelimia ja Ivanti Connect Secure -laitteita, keskittyen Yhdysvaltoihin ja Taiwaniin.

Yhdessä tapauksessa botnet-operaattorit kohdistavat kohteen Kazakstanin valtion virastoon, mikä havainnollistaa Raptor Train -operaation maailmanlaajuista ulottuvuutta. Hyökkäykset perustuvat räätälöityihin työkaluihin ja kehittyneisiin tekniikoihin, mikä vaikeuttaa bottiverkon tunnistamista ja neutralointia.

Lainvalvontaviranomaisten ja teollisuuden vastaus

Vastauksena Raptor Train -bottiverkon aiheuttamaan uhkaan Black Lotus Labs on nollareitittänyt liikenteen tunnetuista bottiverkkosolmuista ja infrastruktuurista. Yhdysvaltain lainvalvontaviranomaiset työskentelevät aktiivisesti purkaakseen bottiverkon, joka on edelleen uhkaava uhka kriittiselle infrastruktuurille maailmanlaajuisesti.

Vaikka botnetin pääpaino on vakoilussa, sen kyky suorittaa komentoja etänä ja haavoittuvuuden hallinta herättää huolta mahdollisista DDoS-hyökkäyksistä tai muista häiritsevistä toimista. Kun kyberturvallisuusyhteisö jatkaa tämän uhan tarkkailua ja lieventämistä, organisaatioiden kaikkialla Yhdysvalloissa ja Taiwanissa on pysyttävä valppaina suojatakseen IoT-laitteitaan ja -verkkojaan jatkokäytöltä.

Raptor Train -botnet-verkon löytäminen on jyrkkä muistutus IoT-laitteiden haavoittuvuudesta nykypäivän yhteenliitetyssä maailmassa. Kiinan kybervakoiluryhmien kohdistuessa kriittisille Yhdysvaltojen ja Taiwanin sektoreille, vahvojen kyberturvallisuustoimenpiteiden ylläpitäminen ei ole koskaan ollut tärkeämpää. Organisaatioiden tulee varmistaa, että niiden verkkoja ja laitteita korjataan ja päivitetään säännöllisesti suojatakseen tätä kehittynyttä botnet-verkkoa.

Tärkeimmät takeawayt :

  • APT-ryhmä Flax Typhoon on rakentanut Raptor Train -bottiverkon, jonka kohteena ovat Yhdysvaltain ja Taiwanin armeijan ja valtion yksiköt.
  • Yli 200 000 IoT-laitetta on saanut tartunnan keskittyen reitittimiin, modeemeihin, IP-kameroihin ja NAS-järjestelmiin.
  • Bottiverkon infrastruktuuri on vankka, ja se käyttää edistyneitä työkaluja, kuten Sparrow -alustaa, etähallintaan ja -käyttöön.
  • Yhdysvaltain lainvalvontaviranomaiset työskentelevät aktiivisesti botnetin infrastruktuurin neutraloimiseksi.

    • Ymmärtämällä Flax Typhoonin kaltaisten ryhmien taktiikat ja kohteet voimme paremmin suojata kriittistä infrastruktuuriamme tulevilta kyberuhkilta.

    Ladataan...