Rabattoffert för flera licenser
Datorsäkerhet Kinesisk cyberspionagegrupp släpper lös Raptor Train...

Kinesisk cyberspionagegrupp släpper lös Raptor Train Botnet, inriktad på amerikanska och taiwanesiska militärer

Med Mura år Datorsäkerhet
Översätt till:
Svenska

I en chockerande utveckling har cybersäkerhetsexperter avslöjat en massiv botnät-operation orkestrerad av en kinesisk statssponsrad spionagegrupp. Detta botnät, med kodnamnet Raptor Train , har äventyrat hundratusentals små kontor/hemmakontor (SOHO) och Internet of Things (IoT) enheter, vilket utsätter kritisk infrastruktur i USA och Taiwan på spel. Botnätet riktar sig främst till sektorer som militär, regering, högre utbildning, telekommunikation och försvarsindustriella baser.

Raptor Train är ett hot i flera nivåer

Enligt en rapport från Black Lotus Labs, Lumen Technologies forskningsgren, byggdes botnätet av den kinesiska hackergruppen känd som Flax Typhoon . Den här Advanced Persistent Threat-gruppen (APT) är ökända för att infiltrera taiwanesiska organisationer samtidigt som den behåller smyg genom att använda minimal skadlig programvara och legitima mjukvaruverktyg. Black Lotus Labs uppskattar att botnätet har infekterat över 200 000 enheter sedan starten i maj 2020. När den var som mest, i mitten av 2023, utsattes mer än 60 000 enheter aktivt.

Kommando-och-kontroll-infrastrukturen (C2) bakom botnätet är mycket sofistikerad. Backend drivs av en centraliserad Node.js-plattform, medan ett plattformsoberoende front-end-verktyg som heter Sparrow hanterar de komprometterade enheterna. Sparrow är designad för att köra kommandon på distans, hantera sårbarheter, underlätta filöverföringar och eventuellt starta DDoS-attacker (distributed denial-of-service). Ingen DDoS-aktivitet har dock rapporterats från botnätet ännu.

Utnyttja IoT-enheter för spionage

Raptor Train-botnätet är uppdelat i tre nivåer. Nivå 1 består av komprometterade IoT-enheter som routrar, modem, IP-kameror och nätverksanslutna lagringssystem (NAS). Dessa enheter roteras konstant och förblir aktiva i i genomsnitt 17 dagar innan de byts ut. Tier 2 ansvarar för exploateringsservrar och C2-noder, medan Tier 3 hanterar nätverket via Sparrow -plattformen.

Mer än 20 olika typer av enheter, inklusive modem från ActionTec, ASUS och DrayTek Vigor, tillsammans med IP-kameror från D-Link, Hikvision och Panasonic, utnyttjas med en blandning av nolldagar och kända sårbarheter. Skadlig programvara som driver Tier 1-noderna, kallad Nosedive , är en variant av det ökända Mirai-implantatet. Nosedive fungerar helt i minnet, vilket gör det extremt svårt att upptäcka och infekterar ett brett utbud av enheter, inklusive de med MIPS-, ARM-, SuperH- och PowerPC-arkitekturer.

Inriktning på kritisk infrastruktur i USA och Taiwan

Botnätet har i stor utsträckning skannat och riktat in sig på viktiga amerikanska militära och statliga sektorer, såväl som organisationer inom den försvarsindustriella basen (DIB). Forskare vid Black Lotus Labs har observerat botnätaktivitet som syftar till att utnyttja sårbara program som Atlassian Confluence-servrar och Ivanti Connect Secure-apparater, med fokus på USA och Taiwan.

I ett fall riktade sig botnätoperatörerna på en statlig myndighet i Kazakstan, vilket illustrerar den globala räckvidden för Raptor Train-verksamheten. Attackerna bygger på anpassade verktyg och avancerade tekniker, vilket gör det svårt att identifiera och neutralisera botnätet.

Brottsbekämpning och industrisvar

Som svar på hotet från Raptor Train-botnätet har Black Lotus Labs noll-dirigerad trafik från kända botnätsnoder och infrastruktur. Amerikanska brottsbekämpande myndigheter arbetar aktivt med att avveckla botnätet, som fortfarande är ett hotande hot mot kritisk infrastruktur över hela världen.

Även om botnätets primära fokus är spionage, väcker dess förmåga för fjärrkommandoexekvering och sårbarhetshantering oro för potentiella DDoS-attacker eller andra störande aktiviteter. Eftersom cybersäkerhetsgemenskapen fortsätter att övervaka och mildra detta hot, måste organisationer över hela USA och Taiwan vara vaksamma när det gäller att säkra sina IoT-enheter och nätverk mot ytterligare exploatering.

Upptäckten av Raptor Train-botnätet fungerar som en skarp påminnelse om sårbarheten hos IoT-enheter i dagens sammankopplade värld. Med kinesiska cyberspionagegrupper inriktade på kritiska amerikanska och taiwanesiska sektorer, har det aldrig varit viktigare att upprätthålla starka cybersäkerhetsåtgärder. Organisationer bör se till att deras nätverk och enheter regelbundet korrigeras och uppdateras för att försvara sig mot detta sofistikerade botnät.

Viktiga takeaways :

  • APT-gruppen Flax Typhoon har byggt Raptor Train-botnätet, riktat mot amerikanska och taiwanesiska militärer och statliga enheter.
  • Över 200 000 IoT-enheter har infekterats, med fokus på routrar, modem, IP-kameror och NAS-system.
  • Botnätets infrastruktur är robust och använder avancerade verktyg som Sparrow -plattformen för fjärrhantering och exploatering.
  • Amerikanska brottsbekämpande myndigheter arbetar aktivt för att neutralisera botnätets infrastruktur.

    • Genom att förstå taktiken och målen för grupper som Flax Typhoon kan vi bättre skydda vår kritiska infrastruktur från framtida cyberhot.

    Läser in...