Chińska grupa cybernetycznego szpiegostwa uwalnia botnet Raptor Train, atakując armie USA i Tajwanu
W szokującym rozwoju sytuacji eksperci ds. cyberbezpieczeństwa odkryli ogromną operację botnetu zorganizowaną przez chińską grupę szpiegowską sponsorowaną przez państwo. Ten botnet o nazwie kodowej Raptor Train naruszył setki tysięcy urządzeń małych biur/biur domowych (SOHO) i Internetu rzeczy (IoT), narażając na ryzyko krytyczną infrastrukturę w USA i na Tajwanie. Botnet atakuje przede wszystkim takie sektory, jak wojsko, rząd, szkolnictwo wyższe, telekomunikacja i bazy przemysłowe obronne.
Spis treści
Pociąg Raptor stanowi zagrożenie wielopoziomowe
Według raportu Black Lotus Labs, ramienia badawczego Lumen Technologies, botnet został zbudowany przez chińską grupę hakerską znaną jako Flax Typhoon . Ta grupa Advanced Persistent Threat (APT) jest niesławna z infiltracji tajwańskich organizacji przy jednoczesnym zachowaniu ukrycia dzięki minimalnemu złośliwemu oprogramowaniu i legalnym narzędziom programowym. Black Lotus Labs szacuje, że botnet zainfekował ponad 200 000 urządzeń od momentu powstania w maju 2020 r. W szczytowym momencie, w połowie 2023 r., aktywnie naruszono ponad 60 000 urządzeń.
Infrastruktura poleceń i kontroli (C2) za botnetem jest wysoce wyrafinowana. Back-end jest zasilany przez scentralizowaną platformę Node.js, podczas gdy wieloplatformowe narzędzie front-end o nazwie Sparrow zarządza naruszonymi urządzeniami. Sparrow został zaprojektowany do zdalnego wykonywania poleceń, zarządzania lukami w zabezpieczeniach, ułatwiania transferu plików i potencjalnie uruchamiania ataków typu DDoS (Distributed Denial-of-Service). Jednak do tej pory nie zgłoszono żadnej aktywności DDoS z botnetu.
Wykorzystywanie urządzeń IoT do szpiegostwa
Botnet Raptor Train jest podzielony na trzy poziomy. Poziom 1 składa się z zainfekowanych urządzeń IoT, takich jak routery, modemy, kamery IP i systemy pamięci masowej podłączonej do sieci (NAS). Urządzenia te są stale wymieniane, pozostając aktywne średnio przez 17 dni przed wymianą. Poziom 2 odpowiada za serwery eksploatacyjne i węzły C2, podczas gdy poziom 3 zarządza siecią za pośrednictwem platformy Sparrow .
Ponad 20 różnych typów urządzeń, w tym modemy ActionTec, ASUS i DrayTek Vigor, a także kamery IP D-Link, Hikvision i Panasonic, jest wykorzystywanych przy użyciu mieszanki luk zero-day i znanych luk. Złośliwe oprogramowanie obsługujące węzły Tier 1, nazwane Nosedive , jest wariantem niesławnego implantu Mirai. Nosedive działa całkowicie w pamięci, co sprawia, że jest niezwykle trudny do wykrycia i infekuje szeroką gamę urządzeń, w tym te z architekturami MIPS, ARM, SuperH i PowerPC.
Celowanie w krytyczną infrastrukturę USA i Tajwanu
Botnet intensywnie skanował i atakował kluczowe sektory armii i rządu USA, a także organizacje w ramach bazy przemysłu obronnego (DIB). Badacze z Black Lotus Labs zaobserwowali aktywność botnetu mającą na celu wykorzystanie podatnego oprogramowania, takiego jak serwery Atlassian Confluence i urządzenia Ivanti Connect Secure, ze szczególnym uwzględnieniem USA i Tajwanu.
W jednym przypadku operatorzy botnetu zaatakowali agencję rządową w Kazachstanie, co ilustruje globalny zasięg operacji Raptor Train. Ataki opierają się na niestandardowych narzędziach i zaawansowanych technikach, co utrudnia identyfikację i neutralizację botnetu.
Organy ścigania i reakcja przemysłu
W odpowiedzi na zagrożenie ze strony botnetu Raptor Train, Black Lotus Labs ma ruch null-routed ze znanych węzłów i infrastruktury botnetu. Amerykańskie agencje ścigania aktywnie pracują nad rozmontowaniem botnetu, który pozostaje groźnym zagrożeniem dla krytycznej infrastruktury na całym świecie.
Podczas gdy głównym celem botnetu jest szpiegostwo, jego zdolność do zdalnego wykonywania poleceń i zarządzania lukami w zabezpieczeniach budzi obawy o potencjalne ataki DDoS lub inne zakłócające działania. Ponieważ społeczność cyberbezpieczeństwa nadal monitoruje i łagodzi to zagrożenie, organizacje w Stanach Zjednoczonych i na Tajwanie muszą zachować czujność, zabezpieczając swoje urządzenia i sieci IoT przed dalszą eksploatacją.
Odkrycie botnetu Raptor Train jest jaskrawym przypomnieniem podatności urządzeń IoT w dzisiejszym połączonym świecie. Ponieważ chińskie grupy cybernetycznego szpiegostwa atakują kluczowe sektory USA i Tajwanu, utrzymanie silnych środków cyberbezpieczeństwa nigdy nie było ważniejsze. Organizacje powinny zadbać o to, aby ich sieci i urządzenia były regularnie łatane i aktualizowane, aby bronić się przed tym wyrafinowanym botnetem.
Najważniejsze wnioski :
- Grupa cyberprzestępców Flax Typhoon stworzyła botnet Raptor Train, którego celem są amerykańskie i tajwańskie podmioty wojskowe i rządowe.
- Zainfekowanych zostało ponad 200 000 urządzeń IoT, w tym przede wszystkim routery, modemy, kamery IP i systemy NAS.
Dzięki zrozumieniu taktyk i celów grup takich jak Flax Typhoon możemy lepiej chronić naszą krytyczną infrastrukturę przed przyszłymi zagrożeniami cybernetycznymi.