Cotație de reducere pentru licențe multiple
Securitatea computerelor Grupul chinez de spionaj cibernetic lansează rețeaua...

Grupul chinez de spionaj cibernetic lansează rețeaua botnet Raptor Train, care vizează militarii SUA și Taiwan

Până în Mura în Securitatea computerelor
Tradu in:
Română

Într-o evoluție șocantă, experții în securitate cibernetică au descoperit o operațiune masivă de botnet orchestrată de un grup de spionaj sponsorizat de stat chinez. Această rețea botnet, cu numele de cod Raptor Train , a compromis sute de mii de dispozitive mici de birou/birou acasă (SOHO) și Internet of Things (IoT), punând în pericol infrastructura critică din SUA și Taiwan. Rețeaua botnet vizează în primul rând sectoare precum armată, guvern, învățământ superior, telecomunicații și baze industriale de apărare.

Trenul Raptor este o amenințare cu mai multe niveluri

Potrivit unui raport al Black Lotus Labs, componenta de cercetare a Lumen Technologies, botnetul a fost construit de grupul chinez de hacking cunoscut sub numele de Flax Typhoon . Acest grup APT (Advanced Persistent Threat) este renumit pentru infiltrarea organizațiilor taiwaneze, menținând în același timp ascuns, folosind programe malware minime și instrumente software legitime. Black Lotus Labs estimează că rețeaua botnet a infectat peste 200.000 de dispozitive de la înființarea sa în mai 2020. La vârf, la mijlocul anului 2023, peste 60.000 de dispozitive au fost compromise în mod activ.

Infrastructura de comandă și control (C2) din spatele rețelei bot este foarte sofisticată. Backend-ul este alimentat de o platformă centralizată Node.js, în timp ce un instrument front-end multiplatform numit Sparrow gestionează dispozitivele compromise. Sparrow este proiectat să execute comenzi de la distanță, să gestioneze vulnerabilitățile, să faciliteze transferurile de fișiere și, potențial, să lanseze atacuri distribuite de refuzare a serviciului (DDoS). Cu toate acestea, nicio activitate DDoS nu a fost raportată încă de la botnet.

Exploatarea dispozitivelor IoT pentru spionaj

Rețeaua botnet Raptor Train este împărțită în trei niveluri. Nivelul 1 constă din dispozitive IoT compromise, cum ar fi routere, modemuri, camere IP și sisteme de stocare atașată la rețea (NAS). Aceste dispozitive sunt rotite în mod constant, rămânând active în medie 17 zile înainte de a fi înlocuite. Nivelul 2 este responsabil pentru serverele de exploatare și nodurile C2, în timp ce nivelul 3 gestionează rețeaua prin intermediul platformei Sparrow .

Peste 20 de tipuri diferite de dispozitive, inclusiv modemuri de la ActionTec, ASUS și DrayTek Vigor, împreună cu camere IP de la D-Link, Hikvision și Panasonic, sunt exploatate folosind o combinație de vulnerabilități zero-day și cunoscute. Malware-ul care alimentează nodurile de nivel 1, denumit Nosedive , este o variantă a infamului implant Mirai. Nosedive funcționează în întregime în memorie, ceea ce face extrem de dificil de detectat și infectează o gamă largă de dispozitive, inclusiv cele cu arhitecturi MIPS, ARM, SuperH și PowerPC.

Vizând infrastructura critică din SUA și Taiwan

Rețeaua botnet a scanat și a vizat sectoarele cheie militare și guvernamentale ale SUA, precum și organizațiile din baza industrială de apărare (DIB). Cercetătorii de la Black Lotus Labs au observat activitate botnet care vizează exploatarea software-ului vulnerabil precum serverele Atlassian Confluence și dispozitivele Ivanti Connect Secure, cu accent pe SUA și Taiwan.

Într-un caz, operatorii de botnet au vizat o agenție guvernamentală din Kazahstan, ilustrând acoperirea globală a operațiunii Raptor Train. Atacurile se bazează pe instrumente personalizate și tehnici avansate, ceea ce face dificilă identificarea și neutralizarea rețelei bot.

Aplicarea legii și răspunsul industriei

Ca răspuns la amenințarea reprezentată de rețeaua botnet Raptor Train, Black Lotus Labs are trafic cu rutare nulă de la nodurile și infrastructura botnet cunoscute. Agențiile de aplicare a legii din SUA lucrează activ pentru a demonta rețeaua botnet, care rămâne o amenințare la adresa infrastructurii critice din întreaga lume.

În timp ce principalul obiectiv al rețelei botnet este spionajul, capacitatea sa de executare a comenzilor de la distanță și de gestionare a vulnerabilităților ridică îngrijorări cu privire la potențialele atacuri DDoS sau alte activități perturbatoare. Pe măsură ce comunitatea de securitate cibernetică continuă să monitorizeze și să atenueze această amenințare, organizațiile din SUA și Taiwan trebuie să rămână vigilente în a-și asigura dispozitivele și rețelele IoT împotriva exploatării ulterioare.

Descoperirea rețelei botnet Raptor Train servește ca o reamintire clară a vulnerabilității dispozitivelor IoT în lumea interconectată de astăzi. Cu grupurile chineze de spionaj cibernetic care vizează sectoarele critice din SUA și Taiwan, menținerea unor măsuri puternice de securitate cibernetică nu a fost niciodată mai importantă. Organizațiile ar trebui să se asigure că rețelele și dispozitivele lor sunt corectate și actualizate în mod regulat pentru a se apăra împotriva acestui botnet sofisticat.

Recomandări cheie :

  • Grupul APT Flax Typhoon a construit rețeaua botnet Raptor Train, care vizează entitățile militare și guvernamentale din SUA și Taiwan.
  • Peste 200.000 de dispozitive IoT au fost infectate, cu accent pe routere, modemuri, camere IP și sisteme NAS.
  • Infrastructura rețelei botnet este robustă, folosind instrumente avansate precum platforma Sparrow pentru management și exploatare de la distanță.
  • Oamenii de aplicare a legii din SUA lucrează activ pentru a neutraliza infrastructura rețelei botnet.

    • Înțelegând tacticile și țintele unor grupuri precum Flax Typhoon, ne putem proteja mai bine infrastructura critică de viitoarele amenințări cibernetice.

    Se încarcă...