Попуст за више лиценци
Цомпутер Сецурити Кинеска група за сајбер шпијунажу ослобађа ботнет Раптор...

Кинеска група за сајбер шпијунажу ослобађа ботнет Раптор Траин, циљајући на америчку и тајванску војску

До Mura. у Цомпутер Сецурити
Преведи на:
Српски

У шокантном развоју догађаја, стручњаци за сајбер безбедност открили су огромну операцију ботнет-а коју је организовала шпијунска група коју спонзорише кинеска држава. Овај ботнет, кодног назива Раптор Траин , угрозио је стотине хиљада малих канцеларијских/кућних канцеларија (СОХО) и Интернет оф Тхингс (ИоТ) уређаја, доводећи у опасност критичну инфраструктуру у САД и Тајвану. Ботнет првенствено циља на секторе као што су војска, влада, високо образовање, телекомуникације и одбрамбене индустријске базе.

Раптор воз је вишеслојна претња

Према извештају Блацк Лотус Лабс, истраживачког огранка Лумен Тецхнологиес, ботнет је изградила кинеска хакерска група позната као Флак Типхоон . Ова група напредних перзистентних претњи (АПТ) је озлоглашена по инфилтрирању у тајванске организације уз истовремено одржавање скривености коришћењем минималног малвера и легитимних софтверских алата. Блацк Лотус Лабс процењује да је ботнет заразио преко 200.000 уређаја од свог почетка у мају 2020. На свом врхунцу, средином 2023. године, више од 60.000 уређаја је било активно компромитовано.

Командна и контролна (Ц2) инфраструктура иза ботнета је веома софистицирана. Позадину покреће централизована платформа Ноде.јс, док фронт-енд алат на више платформи под називом Спарров управља компромитованим уређајима. Спарров је дизајниран да даљински извршава команде, управља рањивостима, олакшава пренос датотека и, потенцијално, покреће дистрибуиране нападе ускраћивања услуге (ДДоС). Међутим, још увек није пријављена ДДоС активност са ботнета.

Искоришћавање ИоТ уређаја за шпијунажу

Раптор Траин ботнет је подељен на три нивоа. Ниво 1 се састоји од компромитованих ИоТ уређаја као што су рутери, модеми, ИП камере и системи за складиштење података повезани са мрежом (НАС). Ови уређаји се стално ротирају и остају активни у просеку 17 дана пре него што буду замењени. Ниво 2 је одговоран за експлоатационе сервере и Ц2 чворове, док ниво 3 управља мрежом преко платформе Спарров .

Више од 20 различитих типова уређаја, укључујући модеме компанија АцтионТец, АСУС и ДраиТек Вигор, заједно са ИП камерама компанија Д-Линк, Хиквисион и Панасониц, експлоатише се коришћењем мешавине рањивости нултог дана и познатих рањивости. Малвер који покреће чворове Тиер 1, назван Носедиве , варијанта је злогласног Мираи имплантата. Носедиве функционише у потпуности у меморији, што га чини изузетно тешким за откривање и инфицира широк спектар уређаја, укључујући оне са МИПС, АРМ, СуперХ и ПоверПЦ архитектуром.

Циљање на критичну инфраструктуру САД и Тајвана

Ботнет је опсежно скенирао и циљао кључне америчке војне и владине секторе, као и организације унутар одбрамбене индустријске базе (ДИБ). Истраживачи из Блацк Лотус Лабс-а су приметили активност ботнет-а која има за циљ искоришћавање рањивог софтвера као што су Атлассиан Цонфлуенце сервери и Иванти Цоннецт Сецуре уређаји, са фокусом на САД и Тајван.

У једном случају, ботнет оператери су циљали владину агенцију у Казахстану, илуструјући глобални домет операције Раптор Траин. Напади се ослањају на прилагођене алате и напредне технике, што отежава идентификацију и неутрализацију ботнета.

Спровођење закона и одговор индустрије

Као одговор на претњу коју представља ботнет Раптор Траин, Блацк Лотус Лабс има нулту рутирање саобраћаја са познатих чворова и инфраструктуре ботнета. Америчке агенције за спровођење закона активно раде на уклањању ботнета, који и даље представља претњу критичној инфраструктури широм света.

Док је примарни фокус ботнета шпијунажа, његова способност за даљинско извршавање команди и управљање рањивостима изазива забринутост у вези са потенцијалним ДДоС нападима или другим ометајућим активностима. Како заједница сајбер безбедности наставља да прати и ублажава ову претњу, организације широм САД и Тајвана морају да остану будне у обезбеђивању својих ИоТ уређаја и мрежа од даље експлоатације.

Откриће ботнета Раптор Траин служи као оштар подсетник на рањивост ИоТ уређаја у данашњем међусобно повезаном свету. Са кинеским групама за сајбер шпијунажу које циљају на критичне америчке и тајванске секторе, одржавање јаких мера сајбер безбедности никада није било важније. Организације треба да обезбеде да се њихове мреже и уређаји редовно закрпе и ажурирају да би се браниле од овог софистицираног ботнета.

Кључни за понети :

  • АПТ група Флак Типхоон је направила ботнет Раптор Траин, циљајући на војне и владине ентитете САД и Тајвана.
  • Преко 200.000 ИоТ уређаја је заражено, са фокусом на рутере, модеме, ИП камере и НАС системе.
  • Инфраструктура ботнета је робусна и користи напредне алате као што је платформа Спарров за даљинско управљање и експлоатацију.
  • Амерички органи за спровођење закона активно раде на неутралисању инфраструктуре ботнета.

    • Разумевањем тактике и циљева група као што је Флак Типхоон, можемо боље да заштитимо нашу критичну инфраструктуру од будућих сајбер претњи.

    Учитавање...