Kumpulan Perisik Siber China Melancarkan Botnet Kereta Api Raptor, Menyasarkan Tentera AS dan Taiwan
Dalam perkembangan yang mengejutkan, pakar keselamatan siber telah menemui operasi botnet besar-besaran yang didalangi oleh kumpulan pengintipan tajaan negara China. Botnet ini, bernama Raptor Train , telah menjejaskan ratusan ribu peranti pejabat/rumah kecil (SOHO) dan Internet of Things (IoT), meletakkan infrastruktur kritikal di AS dan Taiwan dalam risiko. Botnet terutamanya menyasarkan sektor seperti tentera, kerajaan, pendidikan tinggi, telekomunikasi dan pangkalan industri pertahanan.
Isi kandungan
Kereta Api Raptor Adalah Ancaman Berbilang Peringkat
Menurut laporan oleh Black Lotus Labs, cabang penyelidikan Lumen Technologies, botnet itu dibina oleh kumpulan penggodam China yang dikenali sebagai Flax Typhoon . Kumpulan Ancaman Berterusan Lanjutan (APT) ini terkenal kerana menyusup masuk ke dalam organisasi Taiwan sambil mengekalkan senyap dengan menggunakan perisian hasad yang minimum dan alat perisian yang sah. Black Lotus Labs menganggarkan bahawa botnet telah menjangkiti lebih 200,000 peranti sejak penubuhannya pada Mei 2020. Pada kemuncaknya, pada pertengahan 2023, lebih daripada 60,000 peranti telah terjejas secara aktif.
Infrastruktur arahan dan kawalan (C2) di belakang botnet adalah sangat canggih. Bahagian belakang dikuasakan oleh platform Node.js terpusat, manakala alat bahagian hadapan merentas platform yang dipanggil Sparrow menguruskan peranti yang terjejas. Sparrow direka untuk melaksanakan arahan dari jauh, mengurus kelemahan, memudahkan pemindahan fail dan, berpotensi, melancarkan serangan penafian perkhidmatan (DDoS) teragih. Walau bagaimanapun, tiada aktiviti DDoS telah dilaporkan daripada botnet lagi.
Mengeksploitasi Peranti IoT untuk Pengintipan
Botnet Kereta Api Raptor dibahagikan kepada tiga peringkat. Peringkat 1 terdiri daripada peranti IoT yang terjejas seperti penghala, modem, kamera IP dan sistem storan terpasang rangkaian (NAS). Peranti ini sentiasa diputar, kekal aktif selama purata 17 hari sebelum diganti. Tahap 2 bertanggungjawab untuk pelayan eksploitasi dan nod C2, manakala Tahap 3 menguruskan rangkaian melalui platform Sparrow .
Lebih daripada 20 jenis peranti yang berbeza, termasuk modem daripada ActionTec, ASUS dan DrayTek Vigor, bersama-sama dengan kamera IP daripada D-Link, Hikvision dan Panasonic, sedang dieksploitasi menggunakan gabungan kerentanan sifar dan diketahui. Perisian hasad yang menjanakan nod Tahap 1, digelar Nosedive , ialah varian daripada implan Mirai yang terkenal. Nosedive beroperasi sepenuhnya dalam ingatan, menjadikannya amat sukar untuk dikesan dan menjangkiti pelbagai peranti, termasuk yang mempunyai seni bina MIPS, ARM, SuperH dan PowerPC.
Menyasarkan Infrastruktur AS dan Taiwan yang Kritikal
Botnet telah secara meluas mengimbas dan menyasarkan sektor ketenteraan dan kerajaan utama AS, serta organisasi dalam pangkalan industri pertahanan (DIB). Penyelidik di Black Lotus Labs telah memerhatikan aktiviti botnet yang bertujuan untuk mengeksploitasi perisian yang terdedah seperti pelayan Atlassian Confluence dan peralatan Ivanti Connect Secure, dengan tumpuan pada AS dan Taiwan.
Dalam satu contoh, pengendali botnet menyasarkan sebuah agensi kerajaan di Kazakhstan, menggambarkan capaian global operasi Kereta Api Raptor. Serangan bergantung pada alat tersuai dan teknik lanjutan, menjadikannya sukar untuk mengenal pasti dan meneutralkan botnet.
Penguatkuasaan Undang-undang dan Tindak Balas Industri
Sebagai tindak balas kepada ancaman yang ditimbulkan oleh botnet Raptor Train, Black Lotus Labs mempunyai trafik laluan batal daripada nod dan infrastruktur botnet yang diketahui. Agensi penguatkuasaan undang-undang AS sedang giat berusaha untuk membongkar botnet, yang kekal sebagai ancaman yang menjulang kepada infrastruktur kritikal di seluruh dunia.
Walaupun fokus utama botnet adalah pengintipan, keupayaannya untuk pelaksanaan arahan jauh dan pengurusan kelemahan menimbulkan kebimbangan tentang kemungkinan serangan DDoS atau aktiviti mengganggu yang lain. Memandangkan komuniti keselamatan siber terus memantau dan mengurangkan ancaman ini, organisasi di seluruh AS dan Taiwan mesti terus berwaspada dalam melindungi peranti dan rangkaian IoT mereka daripada eksploitasi selanjutnya.
Penemuan botnet Raptor Train berfungsi sebagai peringatan yang jelas tentang kelemahan peranti IoT dalam dunia yang saling berkaitan hari ini. Dengan kumpulan pengintipan siber China yang menyasarkan sektor kritikal AS dan Taiwan, mengekalkan langkah keselamatan siber yang kukuh tidak pernah menjadi lebih penting. Organisasi harus memastikan bahawa rangkaian dan peranti mereka kerap ditampal dan dikemas kini untuk mempertahankan diri daripada botnet yang canggih ini.
Ambilan Utama :
- Kumpulan APT Flax Typhoon telah membina botnet Raptor Train, menyasarkan entiti tentera dan kerajaan AS dan Taiwan.
- Lebih 200,000 peranti IoT telah dijangkiti, dengan tumpuan pada penghala, modem, kamera IP dan sistem NAS.
Dengan memahami taktik dan sasaran kumpulan seperti Flax Typhoon, kami boleh melindungi infrastruktur kritikal kami dengan lebih baik daripada ancaman siber masa hadapan.