Čínska kyberšpionážna skupina spustila botnet Raptor Train so zameraním na americké a taiwanské armády
V šokujúcom vývoji odhalili experti na kybernetickú bezpečnosť rozsiahlu operáciu botnetov, ktorú zorganizovala čínska štátom sponzorovaná špionážna skupina. Tento botnet s kódovým označením Raptor Train kompromitoval státisíce malých kancelárií/domácich kancelárií (SOHO) a zariadení internetu vecí (IoT), čím ohrozil kritickú infraštruktúru v USA a na Taiwane. Botnet sa primárne zameriava na sektory, ako je armáda, vláda, vysokoškolské vzdelávanie, telekomunikácie a obranné priemyselné základne.
Obsah
Raptor Train je viacúrovňová hrozba
Podľa správy Black Lotus Labs, výskumnej pobočky Lumen Technologies, botnet vytvorila čínska hackerská skupina známa ako Flax Typhoon . Táto skupina Advanced Persistent Threat (APT) je neslávne známa infiltráciou taiwanských organizácií pri zachovaní utajenia pomocou minimálneho množstva škodlivého softvéru a legitímnych softvérových nástrojov. Black Lotus Labs odhaduje, že botnet od svojho vzniku v máji 2020 infikoval viac ako 200 000 zariadení. Na vrchole, v polovici roku 2023, bolo aktívne napadnutých viac ako 60 000 zariadení.
Infraštruktúra príkazov a riadenia (C2) za botnetom je vysoko sofistikovaná. Backend je poháňaný centralizovanou platformou Node.js, zatiaľ čo multiplatformový front-end nástroj s názvom Sparrow spravuje napadnuté zariadenia. Sparrow je navrhnutý tak, aby vykonával príkazy na diaľku, spravoval zraniteľné miesta, uľahčoval prenos súborov a potenciálne spúšťal distribuované útoky odmietnutia služby (DDoS). Z botnetu však zatiaľ nebola hlásená žiadna aktivita DDoS.
Využívanie zariadení internetu vecí na špionáž
Botnet Raptor Train je rozdelený do troch úrovní. Úroveň 1 pozostáva z kompromitovaných zariadení internetu vecí, ako sú smerovače, modemy, IP kamery a systémy NAS (Network Attached Storage). Tieto zariadenia sa neustále otáčajú a pred výmenou zostávajú aktívne v priemere 17 dní. Úroveň 2 je zodpovedná za servery a uzly C2, zatiaľ čo úroveň 3 spravuje sieť prostredníctvom platformy Sparrow .
Viac ako 20 rôznych typov zariadení, vrátane modemov od spoločností ActionTec, ASUS a DrayTek Vigor, spolu s IP kamerami od spoločností D-Link, Hikvision a Panasonic, sa využíva pomocou kombinácie zero-day a známych zraniteľností. Malvér poháňajúci uzly úrovne 1, nazývaný Nosedive , je variantom neslávne známeho implantátu Mirai. Nosedive funguje výlučne v pamäti, čo sťažuje detekciu a infikuje širokú škálu zariadení vrátane zariadení s architektúrami MIPS, ARM, SuperH a PowerPC.
Zacielenie na kritickú infraštruktúru USA a Taiwanu
Botnet rozsiahlo skenuje a zameriava sa na kľúčové americké vojenské a vládne sektory, ako aj na organizácie v rámci obrannej priemyselnej základne (DIB). Výskumníci z Black Lotus Labs pozorovali aktivitu botnetov zameranú na zneužívanie zraniteľného softvéru, ako sú servery Atlassian Confluence a zariadenia Ivanti Connect Secure, so zameraním na USA a Taiwan.
V jednom prípade sa prevádzkovatelia botnetov zamerali na vládnu agentúru v Kazachstane, čo ilustrovalo globálny dosah prevádzky Raptor Train. Útoky sa spoliehajú na vlastné nástroje a pokročilé techniky, čo sťažuje identifikáciu a neutralizáciu botnetu.
Presadzovanie práva a reakcia priemyslu
V reakcii na hrozbu, ktorú predstavuje botnet Raptor Train, Black Lotus Labs zrušilo smerovanie prevádzky zo známych uzlov a infraštruktúry botnetov. Americké orgány činné v trestnom konaní aktívne pracujú na odstránení botnetu, ktorý zostáva hrozbou pre kritickú infraštruktúru na celom svete.
Zatiaľ čo hlavným zameraním botnetu je špionáž, jeho schopnosť vykonávať vzdialené príkazy a spravovať zraniteľnosť vyvoláva obavy z potenciálnych DDoS útokov alebo iných rušivých aktivít. Keďže komunita kybernetickej bezpečnosti naďalej monitoruje a zmierňuje túto hrozbu, organizácie v USA a na Taiwane musia zostať ostražité pri zabezpečení svojich zariadení a sietí internetu vecí pred ďalším zneužívaním.
Objav botnetu Raptor Train slúži ako ostrá pripomienka zraniteľnosti zariadení internetu vecí v dnešnom prepojenom svete. S čínskymi skupinami kybernetickej špionáže, ktoré sa zameriavajú na kritické sektory v USA a Taiwane, nebolo nikdy dôležitejšie udržiavať prísne opatrenia v oblasti kybernetickej bezpečnosti. Organizácie by mali zabezpečiť, aby ich siete a zariadenia boli pravidelne opravované a aktualizované, aby sa mohli brániť proti tomuto sofistikovanému botnetu.
Kľúčové poznatky :
- Skupina APT Flax Typhoon vytvorila botnet Raptor Train, ktorý sa zameriava na vojenské a vládne subjekty USA a Taiwanu.
- Infikovaných bolo viac ako 200 000 zariadení internetu vecí so zameraním na smerovače, modemy, IP kamery a systémy NAS.
Pochopením taktiky a cieľov skupín, ako je Flax Typhoon, môžeme lepšie chrániť našu kritickú infraštruktúru pred budúcimi kybernetickými hrozbami.