Több licencre vonatkozó kedvezményes árajánlat
Számítógépes biztonság A kínai kiberkémkedési csoport felszabadítja a Raptor...

A kínai kiberkémkedési csoport felszabadítja a Raptor Train botnetet, amely az amerikai és tajvani hadsereget veszi célba

Mura -ra Számítógépes biztonság-ben
Fordítás ide:
Magyar

Megdöbbentő fejleményként a kiberbiztonsági szakértők egy hatalmas botnet-műveletet tártak fel, amelyet egy kínai állam által támogatott kémcsoport szervezett. Ez a Raptor Train kódnéven futó botnet több százezer kis irodai/otthoni irodai (SOHO) és Internet of Things (IoT) eszközt veszélyeztetett, veszélybe sodorva az Egyesült Államok és Tajvan kritikus infrastruktúráját. A botnet elsősorban olyan szektorokat céloz meg, mint a katonai, kormányzati, felsőoktatási, távközlési és védelmi ipari bázisok.

A Raptor Train többszintű fenyegetés

A Black Lotus Labs, a Lumen Technologies kutatócsoportjának jelentése szerint a botnetet a Flax Typhoon néven ismert kínai hackercsoport építette. Ez az Advanced Persistent Threat (APT) csoport hírhedt arról, hogy beszivárog tajvani szervezetekbe, miközben minimális rosszindulatú szoftvert és legális szoftvereszközöket használ fel. A Black Lotus Labs becslése szerint a botnet több mint 200 000 eszközt fertőzött meg 2020 májusa óta. A csúcson, 2023 közepén több mint 60 000 eszközt fertőztek meg aktívan.

A botnet mögötti parancs- és vezérlési (C2) infrastruktúra rendkívül kifinomult. A háttérrendszert egy központosított Node.js platform hajtja, míg a Sparrow nevű, többplatformos front-end eszköz kezeli a veszélyeztetett eszközöket. A Sparrow-t úgy tervezték, hogy távolról hajtson végre parancsokat, kezelje a sebezhetőségeket, megkönnyítse a fájlátvitelt, és potenciálisan elosztott szolgáltatásmegtagadási (DDoS) támadásokat indítson. A botnetről azonban még nem érkezett jelentés DDoS tevékenységről.

IoT-eszközök kémkedésre való kihasználása

A Raptor Train botnet három szintre oszlik. Az 1. szint olyan kompromittált IoT-eszközökből áll, mint az útválasztók, modemek, IP-kamerák és hálózathoz csatolt tárolórendszerek (NAS). Ezeket az eszközöket folyamatosan forgatják, átlagosan 17 napig aktívak maradnak, mielőtt kicserélnék őket. A Tier 2 felelős a kihasználó szerverekért és a C2 csomópontokért, míg a 3. szint a Sparrow platformon keresztül kezeli a hálózatot.

Több mint 20 különböző típusú eszközt, köztük az ActionTec, az ASUS és a DrayTek Vigor modemeit, valamint a D-Link, a Hikvision és a Panasonic IP-kameráit használják ki nulladik napi és ismert sebezhetőségek keverékével. A Tier 1 csomópontokat működtető, Nosedive névre keresztelt rosszindulatú program a hírhedt Mirai implantátum egy változata. A Nosedive teljes egészében a memóriában működik, ami rendkívül megnehezíti az észlelést, és sokféle eszközt megfertőz, beleértve a MIPS, ARM, SuperH és PowerPC architektúrával rendelkezőket is.

A kritikus amerikai és tajvani infrastruktúra megcélzása

A botnet széles körben vizsgálja és célozza meg a kulcsfontosságú amerikai katonai és kormányzati szektorokat, valamint a védelmi ipari bázison (DIB) belüli szervezeteket. A Black Lotus Labs kutatói olyan botnet-tevékenységet figyeltek meg, amelynek célja a sérülékeny szoftverek, például az Atlassian Confluence szerverek és az Ivanti Connect Secure készülékek kihasználása, az Egyesült Államokra és Tajvanra összpontosítva.

Az egyik esetben a botnet-üzemeltetők egy kazahsztáni kormányhivatalt vettek célba, illusztrálva a Raptor Train művelet globális hatókörét. A támadások egyedi eszközökre és fejlett technikákra támaszkodnak, ami megnehezíti a botnet azonosítását és semlegesítését.

Rendészeti és ipari válasz

A Raptor Train botnet által jelentett fenyegetésre válaszul a Black Lotus Labs nullára irányította a forgalmat az ismert botnet csomópontokból és infrastruktúrából. Az amerikai bűnüldöző szervek aktívan dolgoznak a botnet felszámolásán, amely továbbra is fenyegetést jelent a kritikus infrastruktúrákra világszerte.

Míg a botnet elsődleges célja a kémkedés, távoli parancsvégrehajtási és sebezhetőség-kezelési képessége aggodalomra ad okot a lehetséges DDoS-támadások vagy más zavaró tevékenységek miatt. Mivel a kiberbiztonsági közösség továbbra is figyelemmel kíséri és mérsékli ezt a fenyegetést, az Egyesült Államokban és Tajvanon működő szervezeteknek továbbra is ébernek kell maradniuk IoT-eszközeik és hálózataik további kizsákmányolással szembeni védelmében.

A Raptor Train botnet felfedezése határozottan emlékeztet az IoT-eszközök sebezhetőségére a mai összekapcsolt világban. Mivel a kínai kiberkémkedési csoportok kritikus amerikai és tajvani szektorokat vesznek célba, az erős kiberbiztonsági intézkedések fenntartása soha nem volt még fontosabb. A szervezeteknek gondoskodniuk kell arról, hogy hálózataikat és eszközeiket rendszeresen javítsák és frissítsék, hogy megvédjék ezt a kifinomult botnetet.

Legfontosabb elvitelek :

  • Az APT csoport, a Flax Typhoon megépítette a Raptor Train botnetet, amely az amerikai és tajvani katonai és kormányzati szerveket célozza meg.
  • Több mint 200 000 IoT-eszköz fertőződött meg, elsősorban az útválasztókra, modemekre, IP-kamerákra és NAS-rendszerekre.
  • A botnet infrastruktúrája robusztus, olyan fejlett eszközöket használ, mint a Sparrow platform a távoli felügyelethez és kiaknázáshoz.
  • Az amerikai bűnüldöző szervek aktívan dolgoznak a botnet infrastruktúrájának semlegesítésén.

    • Ha megértjük az olyan csoportok taktikáját és célpontjait, mint a Flax Typhoon, jobban megvédhetjük kritikus infrastruktúránkat a jövőbeli kiberfenyegetésekkel szemben.

    Betöltés...