Kuota e zbritjes me shumë licencë
Siguria kompjuterike Grupi kinez i spiunazhit kibernetik lëshon rrjetin e...

Grupi kinez i spiunazhit kibernetik lëshon rrjetin e trenit Raptor, duke synuar ushtritë e SHBA-së dhe Tajvanit

Nga MuraSiguria kompjuterike
Përkthe në:
Shqip

Në një zhvillim tronditës, ekspertët e sigurisë kibernetike kanë zbuluar një operacion masiv botnet të orkestruar nga një grup spiunazhi i sponsorizuar nga shteti kinez. Ky botnet, i koduar me emrin Raptor Train , ka komprometuar qindra mijëra pajisje të vogla zyra/zyre shtëpiake (SOHO) dhe Internet of Things (IoT), duke vënë në rrezik infrastrukturën kritike në SHBA dhe Tajvan. Botnet-i synon kryesisht sektorë të tillë si ushtria, qeveria, arsimi i lartë, telekomunikacioni dhe bazat industriale të mbrojtjes.

Raptor Train është një kërcënim me shumë nivele

Sipas një raporti nga Black Lotus Labs, krahu kërkimor i Lumen Technologies, botnet-i u ndërtua nga grupi kinez i hakerëve i njohur si Flax Typhoon . Ky grup Kërcënimi i Përparuar i Përparuar (APT) është famëkeq për infiltrimin e organizatave tajvaneze duke ruajtur fshehtësinë duke përdorur malware minimal dhe mjete softuerike legjitime. Black Lotus Labs vlerëson se botnet-i ka infektuar mbi 200,000 pajisje që nga fillimi i tij në maj 2020. Në kulmin e tij, në mesin e vitit 2023, më shumë se 60,000 pajisje u komprometuan në mënyrë aktive.

Infrastruktura e komandës dhe kontrollit (C2) pas botnet-it është shumë e sofistikuar. Backend-i mundësohet nga një platformë e centralizuar Node.js, ndërsa një mjet ndër-platformë i përparmë i quajtur Sparrow menaxhon pajisjet e komprometuara. Sparrow është krijuar për të ekzekutuar komanda nga distanca, për të menaxhuar dobësitë, për të lehtësuar transferimet e skedarëve dhe, potencialisht, për të nisur sulmet e distribuuara të mohimit të shërbimit (DDoS). Megjithatë, asnjë aktivitet DDoS nuk është raportuar ende nga botnet.

Shfrytëzimi i pajisjeve IoT për spiunazh

Botneti Raptor Train është i ndarë në tre nivele. Niveli 1 përbëhet nga pajisje IoT të komprometuara si ruterat, modemet, kamerat IP dhe sistemet e ruajtjes së bashkangjitur në rrjet (NAS). Këto pajisje rrotullohen vazhdimisht, duke qëndruar aktive mesatarisht 17 ditë përpara se të zëvendësohen. Niveli 2 është përgjegjës për serverët e shfrytëzimit dhe nyjet C2, ndërsa Niveli 3 menaxhon rrjetin nëpërmjet platformës Sparrow .

Më shumë se 20 lloje të ndryshme pajisjesh, duke përfshirë modemët nga ActionTec, ASUS dhe DrayTek Vigor, së bashku me kamerat IP nga D-Link, Hikvision dhe Panasonic, po shfrytëzohen duke përdorur një përzierje të dobësive të ditës zero dhe të njohura. Malware që fuqizon nyjet e nivelit 1, i quajtur Nosedive , është një variant i implantit famëkeq Mirai. Nosedive funksionon tërësisht në memorie, duke e bërë jashtëzakonisht të vështirë zbulimin dhe infekton një gamë të gjerë pajisjesh, duke përfshirë ato me arkitektura MIPS, ARM, SuperH dhe PowerPC.

Synimi i Infrastrukturës Kritike të SHBA-së dhe Tajvanit

Botnet-i ka skanuar dhe synuar gjerësisht sektorët kryesorë të ushtrisë dhe qeverisë amerikane, si dhe organizatat brenda bazës industriale të mbrojtjes (DIB). Studiuesit në Black Lotus Labs kanë vëzhguar aktivitetin e botnet-it që synon shfrytëzimin e softuerëve të cenueshëm si serverët Atlassian Confluence dhe pajisjet Ivanti Connect Secure, me fokus në SHBA dhe Tajvan.

Në një rast, operatorët botnet synuan një agjenci qeveritare në Kazakistan, duke ilustruar shtrirjen globale të operacionit Raptor Train. Sulmet mbështeten në mjete të personalizuara dhe teknika të avancuara, duke e bërë të vështirë identifikimin dhe neutralizimin e botnet-it.

Zbatimi i ligjit dhe reagimi i industrisë

Në përgjigje të kërcënimit të paraqitur nga botnet-i Raptor Train, Black Lotus Labs ka trafik të pavlefshëm nga nyjet dhe infrastruktura e njohur e botnet-it. Agjencitë e zbatimit të ligjit në SHBA po punojnë në mënyrë aktive për të çmontuar botnet-in, i cili mbetet një kërcënim i mundshëm për infrastrukturën kritike në mbarë botën.

Ndërsa fokusi kryesor i botnet-it është spiunazhi, aftësia e tij për ekzekutimin e komandës në distancë dhe menaxhimin e cenueshmërisë ngre shqetësime në lidhje me sulmet e mundshme DDoS ose aktivitete të tjera përçarëse. Ndërsa komuniteti i sigurisë kibernetike vazhdon të monitorojë dhe zbusë këtë kërcënim, organizatat në të gjithë SHBA-në dhe Tajvanin duhet të qëndrojnë vigjilente në sigurimin e pajisjeve dhe rrjeteve të tyre IoT kundër shfrytëzimit të mëtejshëm.

Zbulimi i botnet-it Raptor Train shërben si një kujtesë e fortë e cenueshmërisë së pajisjeve IoT në botën e sotme të ndërlidhur. Me grupet kineze të spiunazhit kibernetik që synojnë sektorë kritikë të SHBA-së dhe Tajvanit, mbajtja e masave të forta të sigurisë kibernetike nuk ka qenë kurrë më e rëndësishme. Organizatat duhet të sigurojnë që rrjetet dhe pajisjet e tyre të rregullohen dhe përditësohen rregullisht për t'u mbrojtur kundër këtij botneti të sofistikuar.

Marrëdhëniet kryesore :

  • Grupi APT Flax Typhoon ka ndërtuar botnetin Raptor Train, duke synuar entitetet ushtarake dhe qeveritare të SHBA dhe Tajvanit.
  • Mbi 200,000 pajisje IoT janë infektuar, me fokus në ruterat, modemët, kamerat IP dhe sistemet NAS.
  • Infrastruktura e botnet-it është e fuqishme, duke përdorur mjete të avancuara si platforma Sparrow për menaxhim dhe shfrytëzim në distancë.
  • Zbatimi i ligjit në SHBA po punon në mënyrë aktive për të neutralizuar infrastrukturën e botnet-it.

    • Duke kuptuar taktikat dhe objektivat e grupeve si Flax Typhoon, ne mund ta mbrojmë më mirë infrastrukturën tonë kritike nga kërcënimet e ardhshme kibernetike.

    Po ngarkohet...