다중 라이센스 할인 견적
컴퓨터 보안 중국 사이버 스파이 그룹, 랩터 트레인 봇넷을 풀어 미국과 대만 군대를 표적으로 삼다

중국 사이버 스파이 그룹, 랩터 트레인 봇넷을 풀어 미국과 대만 군대를 표적으로 삼다

컴퓨터 보안년에 Mura 년까지
번역 :
한국어

충격적인 사건으로, 사이버 보안 전문가들은 중국 국가가 지원하는 간첩 집단이 조직한 대규모 봇넷 작전을 밝혀냈습니다. 코드명 Raptor Train 인 이 봇넷은 수십만 대의 소규모 사무실/홈 오피스(SOHO) 및 사물 인터넷(IoT) 기기를 손상시켜 미국과 대만의 중요 인프라를 위험에 빠뜨렸습니다. 이 봇넷은 주로 군대, 정부, 고등 교육, 통신 및 방위 산업 기반과 같은 분야를 표적으로 삼습니다.

랩터 열차는 다층적 위협입니다

Lumen Technologies의 연구 부서인 Black Lotus Labs의 보고서에 따르면, 이 봇넷은 Flax Typhoon 이라는 중국 해킹 그룹에 의해 구축되었습니다. 이 APT(Advanced Persistent Threat) 그룹은 최소한의 맬웨어와 합법적인 소프트웨어 도구를 사용하여 은밀함을 유지하면서 대만 조직에 침투한 것으로 악명이 높습니다. Black Lotus Labs는 이 봇넷이 2020년 5월에 시작된 이후로 200,000대 이상의 기기를 감염시켰다고 추정합니다. 최고조에 달했던 2023년 중반에는 60,000대 이상의 기기가 적극적으로 침해되었습니다.

봇넷 뒤에 있는 명령 및 제어(C2) 인프라는 매우 정교합니다. 백엔드는 중앙 집중식 Node.js 플랫폼으로 구동되는 반면, Sparrow 라는 크로스 플랫폼 프런트엔드 도구는 손상된 장치를 관리합니다. Sparrow 는 원격으로 명령을 실행하고, 취약성을 관리하고, 파일 전송을 용이하게 하고, 잠재적으로 분산 서비스 거부(DDoS) 공격을 시작하도록 설계되었습니다. 그러나 아직 봇넷에서 DDoS 활동이 보고되지 않았습니다.

IoT 기기를 이용한 스파이 활동

Raptor Train 봇넷은 3단계로 나뉩니다. 1단계는 라우터, 모뎀, IP 카메라, NAS(Network Attached Storage) 시스템과 같은 손상된 IoT 기기로 구성됩니다. 이러한 기기는 지속적으로 교체되며 평균 17일 동안 활성 상태를 유지한 후 교체됩니다. 2단계는 익스플로잇 서버와 C2 노드를 담당하고 3단계는 Sparrow 플랫폼을 통해 네트워크를 관리합니다.

ActionTec, ASUS, DrayTek Vigor의 모뎀과 D-Link, Hikvision, Panasonic의 IP 카메라를 포함한 20개 이상의 다양한 유형의 기기가 제로데이와 알려진 취약점을 혼합하여 악용되고 있습니다. Tier 1 노드를 구동하는 맬웨어인 Nosedive 는 악명 높은 Mirai 임플란트의 변종입니다. Nosedive는 전적으로 메모리에서 작동하여 감지하기가 매우 어렵고 MIPS, ARM, SuperH, PowerPC 아키텍처를 포함한 광범위한 기기를 감염시킵니다.

미국과 대만의 중요한 인프라를 표적으로 삼다

봇넷은 주요 미국 군사 및 정부 부문과 방위 산업 기반(DIB) 내의 조직을 광범위하게 스캔하고 타겟팅했습니다. Black Lotus Labs의 연구원들은 미국과 대만에 초점을 맞춘 Atlassian Confluence 서버와 Ivanti Connect Secure 어플라이언스와 같은 취약한 소프트웨어를 악용하는 것을 목표로 하는 봇넷 활동을 관찰했습니다.

한 사례에서 봇넷 운영자는 카자흐스탄의 정부 기관을 표적으로 삼았는데, 이는 Raptor Train 작전의 글로벌 범위를 보여줍니다. 이 공격은 맞춤형 도구와 고급 기술에 의존하기 때문에 봇넷을 식별하고 무력화하기 어렵습니다.

법 집행 및 산업 대응

Raptor Train 봇넷이 초래하는 위협에 대응하여 Black Lotus Labs는 알려진 봇넷 노드와 인프라에서 null 라우팅된 트래픽을 처리했습니다. 미국 법 집행 기관은 전 세계의 중요한 인프라에 대한 위협으로 남아 있는 봇넷을 해체하기 위해 적극적으로 노력하고 있습니다.

봇넷의 주요 초점은 간첩이지만 원격 명령 실행 및 취약성 관리 기능은 잠재적인 DDoS 공격 또는 기타 파괴적 활동에 대한 우려를 제기합니다. 사이버 보안 커뮤니티가 이 위협을 계속 모니터링하고 완화함에 따라 미국과 대만의 조직은 IoT 기기와 네트워크를 추가 악용으로부터 보호하는 데 계속 경계해야 합니다.

Raptor Train 봇넷의 발견은 오늘날 상호 연결된 세계에서 IoT 기기의 취약성을 뚜렷하게 상기시켜줍니다. 중국 사이버 스파이 그룹이 미국과 대만의 중요한 부문을 표적으로 삼으면서 강력한 사이버 보안 조치를 유지하는 것이 그 어느 때보다 중요해졌습니다. 조직은 네트워크와 기기를 정기적으로 패치하고 업데이트하여 이 정교한 봇넷을 방어해야 합니다.

주요 내용 :

  • APT 그룹인 플렉스 타이푼(Flax Typhoon)은 미국과 대만의 군대와 정부 기관을 표적으로 삼아 랩터 트레인 봇넷을 구축했습니다.
  • 20만 개가 넘는 IoT 기기가 감염되었으며, 주로 라우터, 모뎀, IP 카메라, NAS 시스템을 중심으로 감염되었습니다.
  • 봇넷의 인프라는 강력하며, 원격 관리 및 활용을 위한 Sparrow 플랫폼과 같은 고급 도구를 사용합니다.
  • 미국 법 집행 기관은 봇넷 인프라를 무력화하기 위해 적극적으로 노력하고 있습니다.

    • Flax Typhoon과 같은 조직의 전술과 목표를 이해함으로써 우리는 미래의 사이버 위협으로부터 중요한 인프라를 더 잘 보호할 수 있습니다.

    로드 중...