Kitajska skupina za kibernetsko vohunjenje sprosti botnet Raptor Train, ki cilja na vojsko ZDA in Tajvana
V šokantnem razvoju so strokovnjaki za kibernetsko varnost odkrili obsežno operacijo botneta, ki jo je orkestrirala vohunska skupina, ki jo sponzorira kitajska država. Ta botnet s kodnim imenom Raptor Train je ogrozil na stotine tisoče naprav za male pisarne/domače pisarne (SOHO) in internet stvari (IoT), s čimer je ogrozil kritično infrastrukturo v ZDA in na Tajvanu. Bonet je namenjen predvsem sektorjem, kot so vojska, vlada, visokošolsko izobraževanje, telekomunikacije in obrambne industrijske baze.
Kazalo
Raptor Train je večplastna grožnja
Glede na poročilo Black Lotus Labs, raziskovalne veje Lumen Technologies, je botnet zgradila kitajska hekerska skupina, znana kot Flax Typhoon . Ta skupina Advanced Persistent Threat (APT) je znana po tem, da se infiltrira v tajvanske organizacije, hkrati pa ohranja prikritost z minimalno uporabo zlonamerne programske opreme in zakonitih programskih orodij. Black Lotus Labs ocenjuje, da je botnet od svojega začetka maja 2020 okužil več kot 200.000 naprav. Na vrhuncu, sredi leta 2023, je bilo aktivno ogroženih več kot 60.000 naprav.
Infrastruktura za upravljanje in nadzor (C2) za botnetom je zelo sofisticirana. Zaledje poganja centralizirana platforma Node.js, medtem ko čelno orodje za več platform, imenovano Sparrow, upravlja ogrožene naprave. Sparrow je zasnovan za izvajanje ukazov na daljavo, upravljanje ranljivosti, olajšanje prenosa datotek in potencialno zagon porazdeljenih napadov zavrnitve storitve (DDoS). Vendar iz botneta še niso poročali o nobeni dejavnosti DDoS.
Izkoriščanje naprav IoT za vohunjenje
Botnet Raptor Train je razdeljen na tri nivoje. Nivo 1 sestavljajo ogrožene naprave IoT, kot so usmerjevalniki, modemi, kamere IP in sistemi za shranjevanje v omrežju (NAS). Te naprave se nenehno menjavajo in ostanejo aktivne povprečno 17 dni, preden jih zamenjajo. Nivo 2 je odgovoren za strežnike za izkoriščanje in vozlišča C2, medtem ko nivo 3 upravlja omrežje prek platforme Sparrow .
Več kot 20 različnih vrst naprav, vključno z modemi ActionTec, ASUS in DrayTek Vigor, skupaj z IP kamerami D-Link, Hikvision in Panasonic, se izkorišča z uporabo mešanice zero-day in znanih ranljivosti. Zlonamerna programska oprema, ki poganja vozlišča stopnje 1, imenovana Nosedive , je različica zloglasnega vsadka Mirai. Nosedive deluje izključno v pomnilniku, zaradi česar ga je izjemno težko zaznati, in okuži širok nabor naprav, vključno s tistimi z arhitekturami MIPS, ARM, SuperH in PowerPC.
Ciljanje na kritično infrastrukturo ZDA in Tajvana
Botnet je obsežno skeniral in ciljal na ključne ameriške vojaške in vladne sektorje ter organizacije znotraj obrambne industrijske baze (DIB). Raziskovalci pri Black Lotus Labs so opazili dejavnost botnetov, katerih cilj je izkoriščanje ranljive programske opreme, kot so strežniki Atlassian Confluence in naprave Ivanti Connect Secure, s poudarkom na ZDA in Tajvanu.
V enem primeru so operaterji botnetov ciljali na vladno agencijo v Kazahstanu, kar ponazarja globalni doseg operacije Raptor Train. Napadi temeljijo na prilagojenih orodjih in naprednih tehnikah, zaradi česar je težko identificirati in nevtralizirati botnet.
Odziv organov pregona in industrije
Kot odgovor na grožnjo, ki jo predstavlja botnet Raptor Train, ima Black Lotus Labs ničelno usmerjen promet iz znanih vozlišč in infrastrukture botnetov. Ameriški organi kazenskega pregona si dejavno prizadevajo razstaviti botnet, ki ostaja grozeča grožnja kritični infrastrukturi po vsem svetu.
Medtem ko je primarni fokus botneta vohunjenje, njegova zmožnost oddaljenega izvajanja ukazov in upravljanja ranljivosti vzbuja zaskrbljenost glede morebitnih napadov DDoS ali drugih motečih dejavnosti. Ker skupnost za kibernetsko varnost še naprej spremlja in blaži to grožnjo, morajo organizacije v ZDA in Tajvanu ostati pazljive pri varovanju svojih naprav in omrežij interneta stvari pred nadaljnjim izkoriščanjem.
Odkritje botneta Raptor Train služi kot oster opomin na ranljivost naprav IoT v današnjem medsebojno povezanem svetu. S kitajskimi kibernetskimi vohunskimi skupinami, ki ciljajo na kritične ameriške in tajvanske sektorje, ohranjanje strogih ukrepov kibernetske varnosti še nikoli ni bilo tako pomembno. Organizacije bi morale zagotoviti, da se njihova omrežja in naprave redno popravljajo in posodabljajo za zaščito pred tem sofisticiranim botnetom.
Ključni zaključki :
- Skupina APT Flax Typhoon je zgradila botnet Raptor Train, ki cilja na vojaške in vladne subjekte ZDA in Tajvana.
- Okuženih je bilo več kot 200.000 naprav interneta stvari, s poudarkom na usmerjevalnikih, modemih, kamerah IP in sistemih NAS.
Z razumevanjem taktike in ciljev skupin, kot je Flax Typhoon, lahko bolje zaščitimo svojo kritično infrastrukturo pred prihodnjimi kibernetskimi grožnjami.