Kinesisk cyberspionasjegruppe slipper løs Raptor Train Botnet, rettet mot amerikanske og taiwanske militære
I en sjokkerende utvikling har cybersikkerhetseksperter avdekket en massiv botnett-operasjon orkestrert av en kinesisk statsstøttet spionasjegruppe. Dette botnettet, med kodenavnet Raptor Train , har kompromittert hundretusenvis av små kontor/hjemmekontor (SOHO) og Internet of Things (IoT) enheter, og satt kritisk infrastruktur i USA og Taiwan i fare. Botnettet retter seg først og fremst mot sektorer som militær, regjering, høyere utdanning, telekommunikasjon og forsvarsindustri.
Innholdsfortegnelse
Raptor-toget er en trussel på flere nivåer
I følge en rapport fra Black Lotus Labs, forskningsarmen til Lumen Technologies, ble botnettet bygget av den kinesiske hackergruppen kjent som Flax Typhoon . Denne Advanced Persistent Threat (APT)-gruppen er beryktet for å infiltrere taiwanske organisasjoner samtidig som den opprettholder stealth ved å bruke minimalt med skadelig programvare og legitime programvareverktøy. Black Lotus Labs anslår at botnettet har infisert over 200 000 enheter siden oppstarten i mai 2020. På sitt topp, i midten av 2023, ble mer enn 60 000 enheter aktivt kompromittert.
Kommando-og-kontroll-infrastrukturen (C2) bak botnettet er svært sofistikert. Backend er drevet av en sentralisert Node.js-plattform, mens et front-end-verktøy på tvers av plattformer kalt Sparrow administrerer de kompromitterte enhetene. Sparrow er designet for å utføre kommandoer eksternt, administrere sårbarheter, forenkle filoverføringer og, potensielt, starte DDoS-angrep (Distributed Denial-of-Service). Ingen DDoS-aktivitet er imidlertid rapportert fra botnettet ennå.
Utnyttelse av IoT-enheter for spionasje
Raptor Train-botnettet er delt inn i tre nivåer. Nivå 1 består av kompromitterte IoT-enheter som rutere, modemer, IP-kameraer og nettverkstilkoblede lagringssystemer (NAS). Disse enhetene roteres konstant og forblir aktive i gjennomsnittlig 17 dager før de skiftes ut. Tier 2 er ansvarlig for utnyttelsesservere og C2-noder, mens Tier 3 administrerer nettverket via Sparrow -plattformen.
Mer enn 20 forskjellige typer enheter, inkludert modemer fra ActionTec, ASUS og DrayTek Vigor, sammen med IP-kameraer fra D-Link, Hikvision og Panasonic, blir utnyttet ved å bruke en blanding av nulldagers og kjente sårbarheter. Skadevaren som driver Tier 1-nodene, kalt Nosedive , er en variant av det beryktede Mirai-implantatet. Nosedive opererer utelukkende i minnet, noe som gjør det ekstremt vanskelig å oppdage, og infiserer et bredt spekter av enheter, inkludert de med MIPS-, ARM-, SuperH- og PowerPC-arkitekturer.
Målretting mot kritisk infrastruktur i USA og Taiwan
Botnettet har i stor grad skannet og målrettet mot sentrale amerikanske militære og offentlige sektorer, så vel som organisasjoner innenfor forsvarsindustribasen (DIB). Forskere ved Black Lotus Labs har observert botnettaktivitet rettet mot å utnytte sårbar programvare som Atlassian Confluence-servere og Ivanti Connect Secure-apparater, med fokus på USA og Taiwan.
I ett tilfelle siktet botnettoperatørene mot et statlig byrå i Kasakhstan, noe som illustrerer den globale rekkevidden til Raptor Train-operasjonen. Angrepene er avhengige av tilpassede verktøy og avanserte teknikker, noe som gjør det vanskelig å identifisere og nøytralisere botnettet.
Rettshåndhevelse og industrirespons
Som svar på trusselen fra Raptor Train-botnettet, har Black Lotus Labs null-rutet trafikk fra kjente botnett-noder og infrastruktur. Amerikanske rettshåndhevelsesbyråer jobber aktivt med å demontere botnettet, som fortsatt er en truende trussel mot kritisk infrastruktur over hele verden.
Mens botnettets primære fokus er spionasje, vekker muligheten for ekstern kommandoutførelse og sårbarhetshåndtering bekymringer om potensielle DDoS-angrep eller andre forstyrrende aktiviteter. Ettersom nettsikkerhetssamfunnet fortsetter å overvåke og redusere denne trusselen, må organisasjoner over hele USA og Taiwan være årvåkne med å sikre sine IoT-enheter og nettverk mot ytterligere utnyttelse.
Oppdagelsen av Raptor Train-botnettet fungerer som en sterk påminnelse om sårbarheten til IoT-enheter i dagens sammenkoblede verden. Med kinesiske cyberspionasjegrupper rettet mot kritiske amerikanske og taiwanske sektorer, har det aldri vært viktigere å opprettholde sterke cybersikkerhetstiltak. Organisasjoner bør sørge for at deres nettverk og enheter jevnlig lappes og oppdateres for å forsvare seg mot dette sofistikerte botnettet.
Viktige takeaways :
- APT-gruppen Flax Typhoon har konstruert Raptor Train-botnettet, rettet mot amerikanske og Taiwans militære og statlige enheter.
- Over 200 000 IoT-enheter har blitt infisert, med fokus på rutere, modemer, IP-kameraer og NAS-systemer.
Ved å forstå taktikken og målene til grupper som Flax Typhoon, kan vi bedre beskytte vår kritiske infrastruktur mot fremtidige cybertrusler.