Китайская группа кибершпионажа запускает ботнет Raptor Train, нацеленный на американские и тайваньские военные силы
В шокирующем развитии событий эксперты по кибербезопасности раскрыли масштабную операцию ботнета, организованную китайской шпионской группой, спонсируемой государством. Этот ботнет под кодовым названием Raptor Train скомпрометировал сотни тысяч устройств малого офиса/домашнего офиса (SOHO) и Интернета вещей (IoT), поставив под угрозу критическую инфраструктуру в США и Тайване. Ботнет в первую очередь нацелен на такие секторы, как армия, правительство, высшее образование, телекоммуникации и оборонные промышленные базы.
Оглавление
Поезд Раптор — многоуровневая угроза
Согласно отчету Black Lotus Labs, исследовательского подразделения Lumen Technologies, ботнет был создан китайской хакерской группой Flax Typhoon . Эта группа Advanced Persistent Threat (APT) печально известна тем, что проникает в тайваньские организации, сохраняя при этом скрытность, используя минимальное количество вредоносного ПО и легитимные программные инструменты. Black Lotus Labs оценивает, что ботнет заразил более 200 000 устройств с момента своего создания в мае 2020 года. На пике своего развития в середине 2023 года было активно скомпрометировано более 60 000 устройств.
Инфраструктура командования и управления (C2) за ботнетом очень сложна. Бэкэнд работает на централизованной платформе Node.js, в то время как кроссплатформенный инструмент фронтэнда под названием Sparrow управляет скомпрометированными устройствами. Sparrow предназначен для удаленного выполнения команд, управления уязвимостями, упрощения передачи файлов и, потенциально, запуска атак типа «распределенный отказ в обслуживании» (DDoS). Однако пока не было зарегистрировано ни одной DDoS-активности со стороны ботнета.
Использование устройств Интернета вещей для шпионажа
Ботнет Raptor Train разделен на три уровня. Уровень 1 состоит из скомпрометированных устройств IoT, таких как маршрутизаторы, модемы, IP-камеры и сетевые системы хранения данных (NAS). Эти устройства постоянно меняются, оставаясь активными в среднем 17 дней до замены. Уровень 2 отвечает за серверы эксплуатации и узлы C2, в то время как уровень 3 управляет сетью через платформу Sparrow .
Более 20 различных типов устройств, включая модемы от ActionTec, ASUS и DrayTek Vigor, а также IP-камеры от D-Link, Hikvision и Panasonic, подвергаются атакам с использованием смеси уязвимостей нулевого дня и известных уязвимостей. Вредоносное ПО, работающее на узлах Tier 1, получившее название Nosedive , является вариантом печально известного импланта Mirai. Nosedive работает исключительно в памяти, что делает его чрезвычайно сложным для обнаружения, и заражает широкий спектр устройств, включая устройства с архитектурами MIPS, ARM, SuperH и PowerPC.
Нацеленность на критически важную инфраструктуру США и Тайваня
Ботнет активно сканирует и атакует ключевые военные и правительственные секторы США, а также организации в рамках оборонно-промышленной базы (DIB). Исследователи из Black Lotus Labs наблюдали активность ботнета, направленную на эксплуатацию уязвимого программного обеспечения, такого как серверы Atlassian Confluence и устройства Ivanti Connect Secure, с упором на США и Тайвань.
В одном случае операторы ботнета нацелились на правительственное агентство в Казахстане, что иллюстрирует глобальный охват операции Raptor Train. Атаки основаны на специальных инструментах и передовых методах, что затрудняет идентификацию и нейтрализацию ботнета.
Правоохранительные органы и реакция отрасли
В ответ на угрозу, которую представляет ботнет Raptor Train, Black Lotus Labs перенаправила трафик с известных узлов и инфраструктуры ботнета на ноль. Правоохранительные органы США активно работают над демонтажем ботнета, который по-прежнему представляет собой надвигающуюся угрозу для критической инфраструктуры во всем мире.
Хотя основной целью ботнета является шпионаж, его способность к удаленному выполнению команд и управлению уязвимостями вызывает опасения относительно потенциальных DDoS-атак или других разрушительных действий. Поскольку сообщество по кибербезопасности продолжает отслеживать и смягчать эту угрозу, организации в США и на Тайване должны сохранять бдительность в защите своих устройств и сетей IoT от дальнейшей эксплуатации.
Обнаружение ботнета Raptor Train служит суровым напоминанием об уязвимости устройств IoT в современном взаимосвязанном мире. С учетом того, что китайские группы кибершпионажа нацелены на критически важные секторы США и Тайваня, поддержание строгих мер кибербезопасности никогда не было более важным. Организации должны обеспечить регулярное исправление и обновление своих сетей и устройств для защиты от этого сложного ботнета.
Основные выводы :
- APT-группа Flax Typhoon создала ботнет Raptor Train, нацеленный на военные и правительственные структуры США и Тайваня.
- Было заражено более 200 000 устройств Интернета вещей, в основном маршрутизаторы, модемы, IP-камеры и системы NAS.
Понимая тактику и цели таких групп, как Flax Typhoon, мы сможем лучше защитить нашу критически важную инфраструктуру от будущих киберугроз.