Kinijos kibernetinio šnipinėjimo grupė išlaisvina „Raptor Train“ robotų tinklą, taikydamasi į JAV ir Taivano kariuomenę
Sukrečiantis įvykis kibernetinio saugumo ekspertai atskleidė didžiulę botneto operaciją, kurią organizavo Kinijos valstybės remiama šnipinėjimo grupė. Šis botnetas, kodiniu pavadinimu „Raptor Train“ , paveikė šimtus tūkstančių mažų biuro / namų biuro (SOHO) ir daiktų interneto (IoT) įrenginių, todėl iškilo pavojus JAV ir Taivano kritinei infrastruktūrai. Botnetas pirmiausia skirtas tokiems sektoriams kaip kariuomenė, vyriausybė, aukštasis mokslas, telekomunikacijos ir gynybos pramonės bazės.
Turinys
Raptor Train yra daugiapakopė grėsmė
Remiantis „Lumen Technologies“ tyrimų padalinio „Black Lotus Labs“ ataskaita, robotų tinklą sukūrė Kinijos įsilaužimo grupė, žinoma kaip „Flax Typhoon“ . Ši Išplėstinių nuolatinių grėsmių (APT) grupė yra liūdnai pagarsėjusi tuo, kad įsiskverbia į Taivano organizacijas, tuo pat metu slapstydamasi naudodama minimalų kenkėjiškų programų ir teisėtų programinės įrangos įrankių skaičių. „Black Lotus Labs“ apskaičiavo, kad nuo 2020 m. gegužės mėn., kai buvo sukurtas robotų tinklas, jis užkrėtė daugiau nei 200 000 įrenginių. Didžiausio taško metu, 2023 m. viduryje, buvo aktyviai pažeista daugiau nei 60 000 įrenginių.
Botneto valdymo ir valdymo (C2) infrastruktūra yra labai sudėtinga. Užpakalinę dalį maitina centralizuota Node.js platforma, o kelių platformų priekinės dalies įrankis, vadinamas Sparrow, valdo pažeistus įrenginius. „Sparrow“ sukurta nuotoliniu būdu vykdyti komandas, valdyti pažeidžiamumą, palengvinti failų perdavimą ir, galbūt, paleisti paskirstytas atsisakymo teikti paslaugas (DDoS) atakas. Tačiau dar nebuvo pranešta apie DDoS veiklą iš botneto.
IoT įrenginių naudojimas šnipinėjimui
„Raptor Train“ botnetas yra padalintas į tris pakopas. 1 pakopą sudaro pažeisti daiktų interneto įrenginiai, tokie kaip maršrutizatoriai, modemai, IP kameros ir prie tinklo prijungtos saugojimo (NAS) sistemos. Šie įrenginiai nuolat sukasi, išlieka aktyvūs vidutiniškai 17 dienų, kol juos pakeičia. 2 pakopa yra atsakinga už išnaudojimo serverius ir C2 mazgus, o 3 pakopa valdo tinklą per Sparrow platformą.
Daugiau nei 20 skirtingų tipų įrenginių, įskaitant modemus iš ActionTec, ASUS ir DrayTek Vigor, taip pat IP kameras iš D-Link, Hikvision ir Panasonic, yra išnaudojami naudojant nulinės dienos ir žinomų pažeidžiamumų derinį. Kenkėjiška programa, maitinanti 1 pakopos mazgus, pavadinta Nosedive , yra liūdnai pagarsėjusio Mirai implanto variantas. „Nosedive“ veikia tik atmintyje, todėl jį labai sunku aptikti ir užkrečia daugybę įrenginių, įskaitant tuos, kurie turi MIPS, ARM, SuperH ir PowerPC architektūras.
Nukreipimas į kritinę JAV ir Taivano infrastruktūrą
Botnetas buvo plačiai nuskaitomas ir nukreiptas į pagrindinius JAV karinius ir vyriausybės sektorius, taip pat į gynybos pramonės bazės (DIB) organizacijas. „Black Lotus Labs“ mokslininkai stebėjo „botnet“ veiklą, kuria siekiama išnaudoti pažeidžiamą programinę įrangą, pvz., „Atlassian Confluence“ serverius ir „Ivanti Connect Secure“ įrenginius, daugiausia dėmesio skiriant JAV ir Taivanui.
Vienu atveju botneto operatoriai nusitaikė į vyriausybinę agentūrą Kazachstane, iliustruodami pasaulinį „Raptor Train“ operacijos aprėptį. Atakos remiasi pasirinktiniais įrankiais ir pažangiomis technikomis, todėl sunku nustatyti ir neutralizuoti robotų tinklą.
Teisėsaugos ir pramonės atsakas
Reaguodama į „Raptor Train“ botneto keliamą grėsmę, „Black Lotus Labs“ nukreipė srautą iš žinomų robotų tinklo mazgų ir infrastruktūros. JAV teisėsaugos institucijos aktyviai stengiasi išardyti botnetą, kuris tebėra grėsmingas kritinei infrastruktūrai visame pasaulyje.
Nors botneto pagrindinis dėmesys skiriamas šnipinėjimui, jo galimybės nuotoliniu būdu vykdyti komandas ir valdyti pažeidžiamumą kelia susirūpinimą dėl galimų DDoS atakų ar kitos trikdančios veiklos. Kibernetinio saugumo bendruomenei ir toliau stebint ir mažinant šią grėsmę, JAV ir Taivano organizacijos turi išlikti budrios, siekdamos apsaugoti savo daiktų interneto įrenginius ir tinklus nuo tolesnio išnaudojimo.
„Raptor Train“ botneto atradimas yra ryškus priminimas apie daiktų interneto įrenginių pažeidžiamumą šiandieniniame tarpusavyje susijusiame pasaulyje. Kinijos kibernetinio šnipinėjimo grupėms nusitaikius į kritinius JAV ir Taivano sektorius, griežtų kibernetinio saugumo priemonių palaikymas dar niekada nebuvo toks svarbus. Organizacijos turėtų užtikrinti, kad jų tinklai ir įrenginiai būtų reguliariai pataisomi ir atnaujinami, kad apsisaugotų nuo šio sudėtingo botneto.
Pagrindiniai patiekalai :
- APT grupė „Flax Typhoon“ sukūrė robotų tinklą „Raptor Train“, skirtą JAV ir Taivano karinėms ir vyriausybinėms įmonėms.
- Daugiau nei 200 000 daiktų interneto įrenginių buvo užkrėsti, daugiausia dėmesio skiriant maršrutizatoriams, modemams, IP kameroms ir NAS sistemoms.
Suprasdami tokių grupių kaip „Flax Typhoon“ taktiką ir tikslus, galime geriau apsaugoti savo svarbiausią infrastruktūrą nuo būsimų kibernetinių grėsmių.