Il gruppo cinese di cyberspionaggio lancia la botnet Raptor Train, prendendo di mira i militari statunitensi e taiwanesi
In uno sviluppo scioccante, gli esperti di sicurezza informatica hanno scoperto un'operazione botnet massiccia orchestrata da un gruppo di spionaggio sponsorizzato dallo stato cinese. Questa botnet, nome in codice Raptor Train , ha compromesso centinaia di migliaia di dispositivi SOHO (Small Office/Home Office) e Internet of Things (IoT), mettendo a rischio infrastrutture critiche negli Stati Uniti e a Taiwan. La botnet prende di mira principalmente settori come l'esercito, il governo, l'istruzione superiore, le telecomunicazioni e le basi industriali della difesa.
Sommario
Raptor Train è una minaccia a più livelli
Secondo un rapporto di Black Lotus Labs, il ramo di ricerca di Lumen Technologies, la botnet è stata creata dal gruppo di hacker cinese noto come Flax Typhoon . Questo gruppo Advanced Persistent Threat (APT) è tristemente famoso per infiltrarsi nelle organizzazioni taiwanesi mantenendo la furtività tramite l'uso di malware minimi e strumenti software legittimi. Black Lotus Labs stima che la botnet abbia infettato oltre 200.000 dispositivi dalla sua creazione nel maggio 2020. Al suo apice, a metà del 2023, sono stati compromessi attivamente oltre 60.000 dispositivi.
L'infrastruttura di comando e controllo (C2) dietro la botnet è altamente sofisticata. Il backend è alimentato da una piattaforma centralizzata Node.js, mentre uno strumento front-end multipiattaforma chiamato Sparrow gestisce i dispositivi compromessi. Sparrow è progettato per eseguire comandi da remoto, gestire le vulnerabilità, facilitare i trasferimenti di file e, potenzialmente, lanciare attacchi di negazione del servizio distribuiti (DDoS). Tuttavia, non è stata ancora segnalata alcuna attività DDoS dalla botnet.
Sfruttamento dei dispositivi IoT per lo spionaggio
La botnet Raptor Train è divisa in tre livelli. Il livello 1 è costituito da dispositivi IoT compromessi come router, modem, telecamere IP e sistemi di storage collegati in rete (NAS). Questi dispositivi vengono ruotati costantemente, rimanendo attivi per una media di 17 giorni prima di essere sostituiti. Il livello 2 è responsabile dei server di exploit e dei nodi C2, mentre il livello 3 gestisce la rete tramite la piattaforma Sparrow .
Oltre 20 tipi diversi di dispositivi, tra cui modem di ActionTec, ASUS e DrayTek Vigor, insieme a telecamere IP di D-Link, Hikvision e Panasonic, vengono sfruttati utilizzando un mix di vulnerabilità zero-day e note. Il malware che alimenta i nodi Tier 1, soprannominato Nosedive , è una variante del famigerato impianto Mirai. Nosedive opera interamente in memoria, rendendolo estremamente difficile da rilevare, e infetta un'ampia gamma di dispositivi, tra cui quelli con architetture MIPS, ARM, SuperH e PowerPC.
Prendere di mira le infrastrutture critiche degli Stati Uniti e di Taiwan
La botnet ha scansionato e preso di mira in modo estensivo settori chiave dell'esercito e del governo degli Stati Uniti, nonché organizzazioni all'interno della base industriale della difesa (DIB). I ricercatori di Black Lotus Labs hanno osservato attività di botnet volte a sfruttare software vulnerabili come i server Atlassian Confluence e le appliance Ivanti Connect Secure, con un focus su Stati Uniti e Taiwan.
In un caso, gli operatori della botnet hanno preso di mira un'agenzia governativa in Kazakistan, a dimostrazione della portata globale dell'operazione Raptor Train. Gli attacchi si basano su strumenti personalizzati e tecniche avanzate, rendendo difficile identificare e neutralizzare la botnet.
Risposta delle forze dell'ordine e dell'industria
In risposta alla minaccia posta dalla botnet Raptor Train, Black Lotus Labs ha instradato il traffico nullo da nodi e infrastrutture della botnet noti. Le agenzie di polizia statunitensi stanno lavorando attivamente per smantellare la botnet, che rimane una minaccia incombente per le infrastrutture critiche in tutto il mondo.
Sebbene l'obiettivo principale della botnet sia lo spionaggio, la sua capacità di esecuzione di comandi da remoto e gestione delle vulnerabilità solleva preoccupazioni su potenziali attacchi DDoS o altre attività dirompenti. Mentre la comunità della sicurezza informatica continua a monitorare e mitigare questa minaccia, le organizzazioni negli Stati Uniti e a Taiwan devono rimanere vigili nel proteggere i propri dispositivi e reti IoT da ulteriori sfruttamenti.
La scoperta della botnet Raptor Train serve da duro promemoria della vulnerabilità dei dispositivi IoT nel mondo interconnesso di oggi. Con i gruppi di cyberspionaggio cinesi che prendono di mira i settori critici degli Stati Uniti e di Taiwan, mantenere forti misure di sicurezza informatica non è mai stato così importante. Le organizzazioni dovrebbero assicurarsi che le loro reti e i loro dispositivi siano regolarmente patchati e aggiornati per difendersi da questa sofisticata botnet.
Punti chiave :
- Il gruppo APT Flax Typhoon ha creato la botnet Raptor Train, prendendo di mira entità militari e governative degli Stati Uniti e di Taiwan.
- Sono stati infettati oltre 200.000 dispositivi IoT, in particolare router, modem, telecamere IP e sistemi NAS.
Conoscendo le tattiche e gli obiettivi di gruppi come Flax Typhoon, possiamo proteggere meglio le nostre infrastrutture critiche da future minacce informatiche.