הצעת הנחה מרובה רישיונות
אבטחת מחשבים קבוצת ריגול הסייבר הסיני משחררת את רשת ה-Raptor Train...

קבוצת ריגול הסייבר הסיני משחררת את רשת ה-Raptor Train Botnet, מכוונת לצבאות ארה"ב וטייוואן

עד Mura ב-אבטחת מחשבים
לתרגם ל:
עברית

בהתפתחות מזעזעת, מומחי אבטחת סייבר חשפו פעולת רשת בוטנית מסיבית שתוזמרה קבוצת ריגול בחסות המדינה הסינית. הבוטנט הזה, ששמו הקוד Raptor Train , פגע במאות אלפי התקני משרד/משרד ביתי (SOHO) ו-Internet of Things (IoT), והעמיד תשתית קריטית בארה"ב ובטייוואן בסיכון. הבוטנט מכוון בעיקר למגזרים כמו צבא, ממשל, השכלה גבוהה, טלקומוניקציה ובסיסי תעשייה ביטחונית.

רכבת דורסים היא איום רב-שכבתי

לפי דיווח של Black Lotus Labs, זרוע המחקר של Lumen Technologies, הבוטנט נבנה על ידי קבוצת הפריצה הסינית הידועה בשם Flax Typhoon . קבוצת איום מתמשך מתקדם (APT) זו ידועה לשמצה בכך שהיא חודרת לארגונים טייוואנים תוך שמירה על התגנבות על ידי שימוש מינימלי של תוכנות זדוניות וכלי תוכנה לגיטימיים. Black Lotus Labs מעריכה שהבוטנט הדביק למעלה מ-200,000 מכשירים מאז הקמתה במאי 2020. בשיאה, באמצע 2023, יותר מ-60,000 מכשירים נפגעו באופן פעיל.

תשתית הפיקוד והשליטה (C2) מאחורי הבוטנט מתוחכמת ביותר. הקצה האחורי מופעל על ידי פלטפורמת Node.js מרכזית, בעוד שכלי חזית חוצה פלטפורמות בשם Sparrow מנהל את המכשירים שנפגעו. Sparrow נועד לבצע פקודות מרחוק, לנהל נקודות תורפה, להקל על העברת קבצים, ואולי גם להפעיל התקפות מניעת שירות מבוזרות (DDoS). עם זאת, עדיין לא דווח על פעילות DDoS מהבוטנט.

ניצול התקני IoT עבור ריגול

הבוטנט של Raptor Train מחולק לשלושה שכבות. שכבה 1 מורכבת מהתקני IoT שנפגעו כמו נתבים, מודמים, מצלמות IP ומערכות אחסון מחוברות לרשת (NAS). המכשירים האלה מסובבים כל הזמן, נשארים פעילים במשך 17 ימים בממוצע לפני שהם מוחלפים. שכבה 2 אחראית על שרתי ניצול וצמתי C2, בעוד שכבה 3 מנהלת את הרשת באמצעות פלטפורמת Sparrow .

יותר מ-20 סוגים שונים של מכשירים, כולל מודמים של ActionTec, ASUS ו-DrayTek Vigor, יחד עם מצלמות IP של D-Link, Hikvision ו-Panasonic, מנוצלים תוך שימוש בשילוב של נקודות אפס ונקודות תורפה ידועות. התוכנה הזדונית המניעה את הצמתים Tier 1, המכונה Nosedive , היא גרסה של שתל Mirai הידוע לשמצה. Nosedive פועלת כולה בזיכרון, מה שמקשה מאוד על איתור, ומדביקה מגוון רחב של מכשירים, כולל כאלה עם ארכיטקטורות MIPS, ARM, SuperH ו-PowerPC.

מיקוד לתשתיות קריטיות בארה”ב ובטייוואן

הבוטנט סרק באופן נרחב ומכוון למגזרי מפתח של צבא וממשל בארה"ב, כמו גם ארגונים בתוך הבסיס התעשייתי הביטחוני (DIB). חוקרים ב-Black Lotus Labs צפו בפעילות בוטנט שמטרתה לנצל תוכנות פגיעות כמו שרתי Atlassian Confluence ומכשירי Ivanti Connect Secure, עם התמקדות בארה"ב ובטייוואן.

באחד המקרים, מפעילי הבוטנט פנו לסוכנות ממשלתית בקזחסטן, והמחישו את הטווח הגלובלי של מבצע רכבת הראפטור. ההתקפות מסתמכות על כלים מותאמים אישית וטכניקות מתקדמות, מה שמקשה על זיהוי ונטרול הבוטנט.

תגובת אכיפת החוק והתעשיה

בתגובה לאיום הנשקף מרשת הבוטנט Raptor Train, ל-Black Lotus Labs יש תעבורה מנותבת אפס מצמתי ותשתית בוטנט ידועים. סוכנויות אכיפת החוק בארה"ב פועלות באופן פעיל לפירוק הבוטנט, שנותר איום מתקרב לתשתית קריטית ברחבי העולם.

בעוד שהמיקוד העיקרי של ה-botnet הוא ריגול, יכולתו לביצוע פקודות מרחוק וניהול פגיעות מעוררת חששות לגבי התקפות DDoS פוטנציאליות או פעילויות מפריעות אחרות. מכיוון שקהילת אבטחת הסייבר ממשיכה לנטר ולמתן את האיום הזה, ארגונים ברחבי ארה"ב וטייוואן חייבים להישאר ערניים באבטחת מכשירי ורשתות ה-IoT שלהם מפני ניצול נוסף.

גילוי רשת הבוטנט Raptor Train משמשת תזכורת מוחלטת לפגיעות של מכשירי IoT בעולם המקושר של היום. עם קבוצות ריגול סייבר סיניות המכוונות למגזרים קריטיים בארה"ב ובטייוואן, שמירה על אמצעי אבטחת סייבר חזקים מעולם לא הייתה חשובה יותר. ארגונים צריכים להבטיח שהרשתות והמכשירים שלהם יתוקנו ומתעדכנים באופן קבוע כדי להתגונן מפני הבוטנט המתוחכם הזה.

נקודות עיקריות :

  • קבוצת APT Flax Typhoon בנתה את רשת הבוטנט Raptor Train, המכוונת לגורמים צבאיים וממשלתיים בארה"ב ובטייוואן.
  • למעלה מ-200,000 מכשירי IoT נדבקו, עם התמקדות בנתבים, מודמים, מצלמות IP ומערכות NAS.
  • התשתית של הבוטנט חזקה, תוך שימוש בכלים מתקדמים כמו פלטפורמת Sparrow לניהול וניצול מרחוק.
  • רשויות אכיפת החוק בארה"ב פועלות באופן פעיל לנטרול תשתית הבוטנט.

    • על ידי הבנת הטקטיקה והיעדים של קבוצות כמו Flax Typhoon, נוכל להגן טוב יותר על התשתית הקריטית שלנו מפני איומי סייבר עתידיים.

    טוען...