Um Grupo Chinês de Espionagem Cibernética Lança o Botnet Raptor Train, Visando Militares dos EUA e de Taiwan
Em um desenvolvimento chocante, especialistas em segurança cibernética descobriram uma operação massiva de botnet orquestrada por um grupo de espionagem patrocinado pelo estado chinês. Este botnet, codinome Raptor Train, comprometeu centenas de milhares de dispositivos de pequenos escritórios/escritórios domésticos (SOHO) e Internet das Coisas (IoT), colocando infraestrutura crítica nos EUA e Taiwan em risco. A botnet tem como alvo principalmente setores como militar, governo, ensino superior, telecomunicações e bases industriais de defesa.
Índice
O Raptor Train é uma Ameaça Multifacetada
De acordo com um relatório do Black Lotus Labs, o braço de pesquisa da Lumen Technologies, o botnet foi construído pelo grupo de hackers chinês conhecido como Flax Typhoon . Este grupo Advanced Persistent Threat (APT) é famoso por se infiltrar em organizações taiwanesas enquanto mantém a discrição usando malware mínimo e ferramentas de software legítimas. O Black Lotus Labs estima que a botnet infectou mais de 200.000 dispositivos desde seu início em maio de 2020. Em seu pico, em meados de 2023, mais de 60.000 dispositivos foram ativamente comprometidos.
A infraestrutura de Comando e Controle (C2) por trás do botnet é altamente sofisticada. O backend é alimentado por uma plataforma Node.js centralizada, enquanto uma ferramenta de front-end multiplataforma chamada Sparrow gerencia os dispositivos comprometidos. O Sparrow foi projetado para executar comandos remotamente, gerenciar vulnerabilidades, facilitar transferências de arquivos e, potencialmente, lançar ataques de negação de serviço distribuídos (DDoS). No entanto, nenhuma atividade de DDoS foi relatada da botnet ainda.
Explorando Dispositivos IoT para Espionagem
O botnet Raptor Train é dividido em três níveis. O nível 1 consiste em dispositivos IoT comprometidos, como roteadores, modems, câmeras IP e sistemas de armazenamento conectado à rede (NAS). Esses dispositivos são constantemente rotacionados, permanecendo ativos por uma média de 17 dias antes de serem substituídos. O nível 2 é responsável pelos servidores de exploração e nós C2, enquanto o nível 3 gerencia a rede por meio da plataforma Sparrow .
Mais de 20 tipos diferentes de dispositivos, incluindo modems da ActionTec, ASUS e DrayTek Vigor, juntamente com câmeras IP da D-Link, Hikvision e Panasonic, estão sendo explorados usando uma mistura de vulnerabilidades de dia zero e conhecidas. O malware que alimenta os nós de Nível 1, apelidado de Nosedive , é uma variante do infame implante Mirai. O Nosedive opera inteiramente na memória, tornando-o extremamente difícil de detectar, e infecta uma ampla gama de dispositivos, incluindo aqueles com arquiteturas MIPS, ARM, SuperH e PowerPC.
Visando a Infraestrutura Crítica dos EUA e de Taiwan
O botnet tem digitalizado extensivamente e mirado setores militares e governamentais importantes dos EUA, bem como organizações dentro da base industrial de defesa (DIB). Pesquisadores do Black Lotus Labs observaram atividade de botnet visando explorar software vulnerável como servidores Atlassian Confluence e appliances Ivanti Connect Secure, com foco nos EUA e Taiwan.
Em um caso, os operadores de botnet miraram uma agência governamental no Cazaquistão, ilustrando o alcance global da operação Raptor Train. Os ataques dependem de ferramentas personalizadas e técnicas avançadas, dificultando a identificação e neutralização do botnet.
Resposta da Indústria e Aplicação da Lei
Em resposta à ameaça representada pelo botnet Raptor Train, o Black Lotus Labs tem tráfego de rota nula de nós e infraestrutura de botnet conhecidos. As agências de segurança dos EUA estão trabalhando ativamente para desmantelar o botnet, que continua sendo uma ameaça iminente à infraestrutura crítica em todo o mundo.
Embora o foco principal da botnet seja a espionagem, sua capacidade de execução remota de comandos e gerenciamento de vulnerabilidades levanta preocupações sobre potenciais ataques DDoS ou outras atividades disruptivas. À medida que a comunidade de segurança cibernética continua monitorando e mitigando essa ameaça, organizações nos EUA e Taiwan devem permanecer vigilantes para proteger seus dispositivos e redes de IoT contra exploração adicional.
A descoberta do botnet Raptor Train serve como um lembrete severo da vulnerabilidade dos dispositivos IoT no mundo interconectado de hoje. Com grupos de espionagem cibernética chineses mirando setores críticos dos EUA e Taiwan, manter fortes medidas de segurança cibernética nunca foi tão importante. As organizações devem garantir que suas redes e dispositivos sejam regularmente corrigidos e atualizados para se defender contra esse botnet sofisticado.
Principais Conclusões :
- O grupo APT Flax Typhoon construiu o botnet Raptor Train, tendo como alvo entidades militares e governamentais dos EUA e de Taiwan.
- Mais de 200.000 dispositivos IoT foram infectados, com foco em roteadores, modems, câmeras IP e sistemas NAS.
- A infraestrutura da botnet é robusta, usando ferramentas avançadas como a plataforma Sparrow para gerenciamento e exploração remotos.
- As autoridades policiais dos EUA estão trabalhando ativamente para neutralizar a infraestrutura do botnet.
Ao entender as táticas e os alvos de grupos como o Flax Typhoon, podemos proteger melhor nossa infraestrutura crítica contra futuras ameaças cibernéticas.