Ķīniešu kiberspiegošanas grupa atbrīvo Raptor Train robottīklu, vēršoties pret ASV un Taivānas militārpersonām
Šokējošā notikumā kiberdrošības eksperti ir atklājuši apjomīgu robottīklu operāciju, ko organizēja Ķīnas valsts sponsorēta spiegošanas grupa. Šis robottīkls ar koda nosaukumu Raptor Train ir apdraudējis simtiem tūkstošu mazu biroju/mājas biroju (SOHO) un lietiskā interneta (IoT) ierīču, pakļaujot riskam kritisko infrastruktūru ASV un Taivānā. Bottīkls galvenokārt ir paredzēts tādām nozarēm kā militārā, valdība, augstākā izglītība, telekomunikācijas un aizsardzības rūpniecības bāzes.
Satura rādītājs
Raptor Train ir daudzpakāpju drauds
Saskaņā ar Black Lotus Labs, Lumen Technologies pētniecības nodaļas ziņojumu, robottīklu izveidoja Ķīnas hakeru grupa, kas pazīstama kā Flax Typhoon . Šī Advanced Persistent Threat (APT) grupa ir bēdīgi slavena ar to, ka iefiltrējas Taivānas organizācijās, vienlaikus saglabājot slepenību, izmantojot minimālu ļaunprātīgas programmatūras un likumīgu programmatūras rīku skaitu. Black Lotus Labs lēš, ka robottīkls kopš tā izveidošanas 2020. gada maijā ir inficējis vairāk nekā 200 000 ierīču. Sasniedzot maksimumu, 2023. gada vidū, vairāk nekā 60 000 ierīču tika aktīvi apdraudētas.
Komandu un kontroles (C2) infrastruktūra aiz robottīkla ir ļoti sarežģīta. Aizmugursistēmas darbību nodrošina centralizēta Node.js platforma, savukārt starpplatformu priekšgala rīks Sparrow pārvalda apdraudētās ierīces. Sparrow ir paredzēts, lai izpildītu komandas attālināti, pārvaldītu ievainojamības, atvieglotu failu pārsūtīšanu un, iespējams, uzsāktu izplatītus pakalpojumu atteikuma (DDoS) uzbrukumus. Tomēr no robottīkla vēl nav ziņots par DDoS aktivitātēm.
IoT ierīču izmantošana spiegošanai
Raptor Train robottīkls ir sadalīts trīs līmeņos. 1. līmenis veido apdraudētas IoT ierīces, piemēram, maršrutētāji, modemi, IP kameras un tīklam pievienotās atmiņas (NAS) sistēmas. Šīs ierīces tiek pastāvīgi pagrieztas, paliekot aktīvas vidēji 17 dienas pirms nomaiņas. 2. līmenis ir atbildīgs par ekspluatācijas serveriem un C2 mezgliem, savukārt 3. līmenis pārvalda tīklu, izmantojot Sparrow platformu.
Vairāk nekā 20 dažādu veidu ierīces, tostarp modemi no ActionTec, ASUS un DrayTek Vigor, kā arī IP kameras no D-Link, Hikvision un Panasonic, tiek izmantotas, izmantojot nulles dienas un zināmu ievainojamību kombināciju. Ļaunprātīga programmatūra, kas darbina 1. līmeņa mezglus, nodēvēta par Nosedive , ir bēdīgi slavenā Mirai implanta variants. Nosedive pilnībā darbojas atmiņā, padarot to ārkārtīgi grūti nosakāmu, un inficē plašu ierīču klāstu, tostarp tās, kurām ir MIPS, ARM, SuperH un PowerPC arhitektūra.
Mērķauditorijas atlase pēc kritiskās ASV un Taivānas infrastruktūras
Bottīkls ir plaši skenējis un mērķējis uz galvenajām ASV militārajām un valdības nozarēm, kā arī aizsardzības rūpniecības bāzes (DIB) organizācijām. Black Lotus Labs pētnieki ir novērojuši robottīklu darbību, kuras mērķis ir izmantot neaizsargātu programmatūru, piemēram, Atlassian Confluence serverus un Ivanti Connect Secure ierīces, koncentrējoties uz ASV un Taivānu.
Vienā gadījumā robottīklu operatori mērķēja uz valdības aģentūru Kazahstānā, ilustrējot Raptor Train operācijas globālo sasniedzamību. Uzbrukumi balstās uz pielāgotiem rīkiem un uzlabotām metodēm, kas apgrūtina robottīkla identificēšanu un neitralizāciju.
Tiesībaizsardzības un nozares atbilde
Reaģējot uz Raptor Train robottīkla radītajiem draudiem, Black Lotus Labs ir novirzījis trafiku no zināmiem robottīkla mezgliem un infrastruktūras. ASV tiesībaizsardzības iestādes aktīvi strādā, lai likvidētu robottīklu, kas joprojām ir drauds kritiskajai infrastruktūrai visā pasaulē.
Lai gan robottīkla galvenais mērķis ir spiegošana, tā attālinātās komandu izpildes un ievainojamības pārvaldības iespējas rada bažas par iespējamiem DDoS uzbrukumiem vai citām traucējošām darbībām. Tā kā kiberdrošības kopiena turpina uzraudzīt un mazināt šo apdraudējumu, organizācijām visā ASV un Taivānā ir jāsaglabā modrība, lai aizsargātu savas IoT ierīces un tīklus pret turpmāku izmantošanu.
Raptor Train robottīkla atklāšana kalpo kā spilgts atgādinājums par IoT ierīču ievainojamību mūsdienu savstarpēji saistītajā pasaulē. Tā kā Ķīnas kiberspiegošanas grupas ir vērstas pret kritiskām ASV un Taivānas nozarēm, stingru kiberdrošības pasākumu uzturēšana nekad nav bijusi tik svarīga. Organizācijām jānodrošina, lai to tīkli un ierīces tiktu regulāri labotas un atjauninātas, lai aizsargātos pret šo sarežģīto robottīklu.
Galvenās līdzņemšanas iespējas :
- APT grupa Flax Typhoon ir izveidojusi robottīklu Raptor Train, kura mērķis ir ASV un Taivānas militārās un valdības struktūras.
- Vairāk nekā 200 000 IoT ierīču ir inficētas, koncentrējoties uz maršrutētājiem, modemiem, IP kamerām un NAS sistēmām.
Izprotot tādu grupu kā Flax Typhoon taktiku un mērķus, mēs varam labāk aizsargāt savu kritisko infrastruktūru no nākotnes kiberdraudiem.