Ponuda s popustom na više licenci
Sigurnost računala Kineska skupina za kibernetičku špijunažu pokrenula...

Kineska skupina za kibernetičku špijunažu pokrenula botnet Raptor Train, ciljajući američke i tajvanske vojske

Do Mura. Sigurnost računala. godine
Prevedi na:
Hrvatski

U šokantnom razvoju događaja, stručnjaci za kibernetičku sigurnost otkrili su golemu botnet operaciju koju je orkestrirala špijunska skupina koju sponzorira kineska država. Ovaj botnet, kodnog naziva Raptor Train , ugrozio je stotine tisuća malih ureda/kućnih ureda (SOHO) i uređaja Internet of Things (IoT), dovodeći u opasnost kritičnu infrastrukturu u SAD-u i Tajvanu. Botnet prvenstveno cilja na sektore kao što su vojska, vlada, visoko obrazovanje, telekomunikacije i vojne industrijske baze.

Raptor Train višeslojna je prijetnja

Prema izvješću Black Lotus Labsa, istraživačkog ogranka tvrtke Lumen Technologies, botnet je izgradila kineska hakerska skupina poznata kao Flax Typhoon . Ova skupina Advanced Persistent Threat (APT) poznata je po tome što se infiltrirala u tajvanske organizacije, dok je istovremeno održavala tajnost korištenjem minimalnog zlonamjernog softvera i legitimnih softverskih alata. Black Lotus Labs procjenjuje da je botnet zarazio više od 200.000 uređaja od svog početka u svibnju 2020. Na svom vrhuncu, sredinom 2023., više od 60.000 uređaja bilo je aktivno ugroženo.

Infrastruktura upravljanja i kontrole (C2) koja stoji iza botneta vrlo je sofisticirana. Pozadinu pokreće centralizirana Node.js platforma, dok front-end alat za više platformi nazvan Sparrow upravlja ugroženim uređajima. Sparrow je dizajniran za daljinsko izvršavanje naredbi, upravljanje ranjivostima, olakšavanje prijenosa datoteka i, potencijalno, pokretanje distribuiranih napada uskraćivanjem usluge (DDoS). Međutim, još nije prijavljena nikakva DDoS aktivnost s botneta.

Iskorištavanje IoT uređaja za špijunažu

Botnet Raptor Train podijeljen je u tri razine. Razina 1 sastoji se od ugroženih IoT uređaja kao što su usmjerivači, modemi, IP kamere i mrežni sustavi za pohranu podataka (NAS). Ti se uređaji stalno mijenjaju, ostajući aktivni prosječno 17 dana prije nego što se zamijene. Tier 2 odgovoran je za eksploatacijske poslužitelje i C2 čvorove, dok Tier 3 upravlja mrežom putem Sparrow platforme.

Više od 20 različitih vrsta uređaja, uključujući modeme tvrtki ActionTec, ASUS i DrayTek Vigor, zajedno s IP kamerama tvrtki D-Link, Hikvision i Panasonic, iskorištavaju se pomoću kombinacije zero-day i poznatih ranjivosti. Zlonamjerni softver koji pokreće Tier 1 čvorove, nazvan Nosedive , varijanta je zloglasnog Mirai implantata. Nosedive radi isključivo u memoriji, što ga čini izuzetno teškim za otkrivanje, i zarazi širok raspon uređaja, uključujući one s MIPS, ARM, SuperH i PowerPC arhitekturama.

Ciljanje na kritičnu američku i tajvansku infrastrukturu

Botnet je opsežno skenirao i ciljao ključne američke vojne i vladine sektore, kao i organizacije unutar obrambene industrijske baze (DIB). Istraživači iz Black Lotus Labsa primijetili su botnet aktivnost usmjerenu na iskorištavanje ranjivog softvera poput Atlassian Confluence poslužitelja i Ivanti Connect Secure uređaja, s fokusom na SAD i Tajvan.

U jednom su slučaju botnet operateri ciljali na vladinu agenciju u Kazahstanu, što ilustrira globalni doseg operacije Raptor Train. Napadi se oslanjaju na prilagođene alate i napredne tehnike, zbog čega je teško identificirati i neutralizirati botnet.

Provedba zakona i odgovor industrije

Kao odgovor na prijetnju koju predstavlja botnet Raptor Train, Black Lotus Labs je nulto usmjerio promet s poznatih čvorova i infrastrukture botnet-a. Američke agencije za provođenje zakona aktivno rade na demontiranju botneta, koji je i dalje prijeteća prijetnja kritičnoj infrastrukturi diljem svijeta.

Iako je primarni fokus botneta špijunaža, njegova sposobnost daljinskog izvršavanja naredbi i upravljanja ranjivostima izaziva zabrinutost zbog potencijalnih DDoS napada ili drugih remetilačkih aktivnosti. Dok zajednica za kibernetičku sigurnost nastavlja pratiti i ublažavati ovu prijetnju, organizacije diljem SAD-a i Tajvana moraju ostati na oprezu u osiguravanju svojih IoT uređaja i mreža od daljnjeg iskorištavanja.

Otkriće botneta Raptor Train služi kao snažan podsjetnik na ranjivost IoT uređaja u današnjem međusobno povezanom svijetu. S kineskim skupinama za kibernetičku špijunažu koje ciljaju kritične američke i tajvanske sektore, održavanje jakih mjera kibernetičke sigurnosti nikad nije bilo važnije. Organizacije bi trebale osigurati da se njihove mreže i uređaji redovito krpaju i ažuriraju radi obrane od ovog sofisticiranog botneta.

Ključni zaključci :

  • APT grupa Flax Typhoon izgradila je botnet Raptor Train, ciljajući na američke i tajvanske vojne i vladine entitete.
  • Više od 200.000 IoT uređaja je zaraženo, s fokusom na usmjerivače, modeme, IP kamere i NAS sustave.
  • Infrastruktura botneta je robusna i koristi napredne alate poput Sparrow platforme za daljinsko upravljanje i iskorištavanje.
  • Američka policija aktivno radi na neutraliziranju infrastrukture botneta.

    • Razumijevanjem taktika i ciljeva skupina kao što je Flax Typhoon, možemo bolje zaštititi našu kritičnu infrastrukturu od budućih cyber prijetnji.

    Učitavam...