ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ความปลอดภัยทางคอมพิวเตอร์ กลุ่มจารกรรมไซเบอร์ของจีนปล่อยบอตเน็ต Raptor Train...

กลุ่มจารกรรมไซเบอร์ของจีนปล่อยบอตเน็ต Raptor Train มุ่งเป้ากองทัพสหรัฐฯ และไต้หวัน

โดย Mura ใน ความปลอดภัยทางคอมพิวเตอร์
แปลเป็น:
ภาษาไทย

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบ ปฏิบัติการบอตเน็ตขนาดใหญ่ ที่ควบคุมโดยกลุ่มจารกรรมที่รัฐบาลจีนให้การสนับสนุน ซึ่งถือเป็นพัฒนาการที่น่าตกตะลึง บอตเน็ตที่มีชื่อรหัสว่า Raptor Train นี้ได้โจมตีอุปกรณ์สำนักงานขนาดเล็ก/สำนักงานที่บ้าน (SOHO) และอินเทอร์เน็ตออฟธิงส์ (IoT) หลายแสนเครื่อง ทำให้โครงสร้างพื้นฐานที่สำคัญในสหรัฐอเมริกาและไต้หวันตกอยู่ในความเสี่ยง บอตเน็ตดังกล่าวมุ่งเป้าไปที่ภาคส่วนต่างๆ เช่น กองทัพ รัฐบาล อุดมศึกษา โทรคมนาคม และฐานอุตสาหกรรมด้านการป้องกันประเทศเป็นหลัก

รถไฟแร็พเตอร์เป็นภัยคุกคามหลายระดับ

ตามรายงานของ Black Lotus Labs ซึ่งเป็นหน่วยงานวิจัยของ Lumen Technologies บอตเน็ตนี้ถูกสร้างขึ้นโดยกลุ่มแฮกเกอร์ชาวจีนที่รู้จักกันในชื่อ Flax Typhoon กลุ่มภัยคุกคามขั้นสูงที่คงอยู่ (APT) นี้มีชื่อเสียงในด้านการโจมตีองค์กรของไต้หวันในขณะที่ยังคงรักษาความลับโดยใช้มัลแวร์ขั้นต่ำและเครื่องมือซอฟต์แวร์ที่ถูกต้อง Black Lotus Labs ประมาณการว่าบอตเน็ตนี้ได้แพร่ระบาดไปยังอุปกรณ์มากกว่า 200,000 เครื่องนับตั้งแต่เริ่มก่อตั้งในเดือนพฤษภาคม 2020 โดยในช่วงพีคสุด ในช่วงกลางปี 2023 มีอุปกรณ์มากกว่า 60,000 เครื่องที่ถูกบุกรุก

โครงสร้างพื้นฐานการสั่งการและควบคุม (C2) ที่อยู่เบื้องหลังบอตเน็ตมีความซับซ้อนมาก แบ็กเอนด์ขับเคลื่อนโดยแพลตฟอร์ม Node.js แบบรวมศูนย์ ในขณะที่เครื่องมือฟรอนต์เอนด์ข้ามแพลตฟอร์มที่เรียกว่า Sparrow จัดการอุปกรณ์ที่ถูกบุกรุก Sparrow ได้รับการออกแบบมาเพื่อดำเนินการคำสั่งจากระยะไกล จัดการช่องโหว่ อำนวยความสะดวกในการถ่ายโอนไฟล์ และอาจเปิดตัวการโจมตีแบบปฏิเสธการให้บริการแบบกระจาย (DDoS) อย่างไรก็ตาม ยังไม่มีรายงานกิจกรรม DDoS จากบอตเน็ต

การใช้ประโยชน์จากอุปกรณ์ IoT เพื่อการจารกรรม

บอตเน็ต Raptor Train แบ่งออกเป็น 3 ระดับ ระดับ 1 ประกอบด้วยอุปกรณ์ IoT ที่ถูกบุกรุก เช่น เราเตอร์ โมเด็ม กล้อง IP และระบบจัดเก็บข้อมูลที่เชื่อมต่อกับเครือข่าย (NAS) อุปกรณ์เหล่านี้มีการหมุนเวียนอยู่ตลอดเวลา โดยเปิดใช้งานโดยเฉลี่ย 17 วันก่อนที่จะถูกแทนที่ ระดับ 2 รับผิดชอบเซิร์ฟเวอร์การแสวงประโยชน์และโหนด C2 ในขณะที่ระดับ 3 จัดการเครือข่ายผ่านแพลตฟอร์ม Sparrow

อุปกรณ์ประเภทต่างๆ มากกว่า 20 ประเภท รวมถึงโมเด็มจาก ActionTec, ASUS และ DrayTek Vigor พร้อมด้วยกล้อง IP จาก D-Link, Hikvision และ Panasonic กำลังถูกใช้ประโยชน์โดยใช้ช่องโหว่ทั้งแบบ zero-day และแบบที่ทราบกันดีอยู่แล้ว มัลแวร์ที่ควบคุมโหนดระดับ 1 ที่เรียกว่า Nosedive เป็นตัวแปรของ Mirai Implant ที่น่าอับอาย Nosedive ทำงานภายในหน่วยความจำทั้งหมด ทำให้ตรวจจับได้ยากมาก และติดเชื้อในอุปกรณ์หลากหลายประเภท รวมถึงอุปกรณ์ที่มีสถาปัตยกรรม MIPS, ARM, SuperH และ PowerPC

การกำหนดเป้าหมายโครงสร้างพื้นฐานที่สำคัญของสหรัฐฯ และไต้หวัน

บอตเน็ตได้ทำการสแกนและกำหนดเป้าหมายไปที่กองทัพและหน่วยงานรัฐบาลที่สำคัญของสหรัฐฯ รวมไปถึงองค์กรต่างๆ ภายในฐานอุตสาหกรรมป้องกันประเทศ (DIB) นักวิจัยที่ Black Lotus Labs ได้สังเกตเห็นกิจกรรมของบอตเน็ตที่มุ่งเป้าไปที่ซอฟต์แวร์ที่มีช่องโหว่ เช่น เซิร์ฟเวอร์ Atlassian Confluence และอุปกรณ์ Ivanti Connect Secure โดยเน้นที่สหรัฐฯ และไต้หวัน

ในกรณีหนึ่ง ผู้ควบคุมบอตเน็ตได้โจมตีหน่วยงานของรัฐบาลในคาซัคสถาน ซึ่งแสดงให้เห็นถึงขอบเขตทั่วโลกของปฏิบัติการ Raptor Train การโจมตีอาศัยเครื่องมือที่กำหนดเองและเทคนิคขั้นสูง ทำให้ยากต่อการระบุและกำจัดบอตเน็ต

การบังคับใช้กฎหมายและการตอบสนองของอุตสาหกรรม

เพื่อตอบสนองต่อภัยคุกคามจากบอตเน็ต Raptor Train ทาง Black Lotus Labs ได้กำหนดเส้นทางการรับส่งข้อมูลแบบ null จากโหนดและโครงสร้างพื้นฐานของบอตเน็ตที่รู้จัก หน่วยงานบังคับใช้กฎหมายของสหรัฐฯ กำลังดำเนินการอย่างแข็งขันเพื่อกำจัดบอตเน็ต ซึ่งยังคงเป็นภัยคุกคามต่อโครงสร้างพื้นฐานที่สำคัญทั่วโลก

แม้ว่าจุดเน้นหลักของบอตเน็ตคือการจารกรรม แต่ความสามารถในการดำเนินการคำสั่งระยะไกลและการจัดการช่องโหว่ของบอตเน็ตทำให้เกิดข้อกังวลเกี่ยวกับการโจมตี DDoS ที่อาจเกิดขึ้นหรือกิจกรรมที่ก่อกวนอื่นๆ ในขณะที่ชุมชนด้านความปลอดภัยทางไซเบอร์ยังคงตรวจสอบและบรรเทาภัยคุกคามนี้ องค์กรต่างๆ ทั่วสหรัฐอเมริกาและไต้หวันต้องเฝ้าระวังในการรักษาความปลอดภัยอุปกรณ์และเครือข่าย IoT ของตนไม่ให้ถูกใช้ประโยชน์เพิ่มเติม

การค้นพบบอตเน็ต Raptor Train ถือเป็นเครื่องเตือนใจถึงช่องโหว่ของอุปกรณ์ IoT ในโลกที่เชื่อมต่อถึงกันในปัจจุบัน เมื่อกลุ่มจารกรรมทางไซเบอร์ของจีนตั้งเป้าไปที่ภาคส่วนที่สำคัญของสหรัฐฯ และไต้หวัน การรักษามาตรการรักษาความปลอดภัยทางไซเบอร์ที่เข้มงวดจึงมีความสำคัญมากขึ้นกว่าที่เคย องค์กรต่างๆ ควรตรวจสอบให้แน่ใจว่าเครือข่ายและอุปกรณ์ของตนได้รับการแก้ไขและอัปเดตเป็นประจำเพื่อป้องกันบอตเน็ตที่ซับซ้อนนี้

ประเด็นสำคัญ :

  • กลุ่ม APT Flax Typhoon ได้สร้างบอตเน็ต Raptor Train เพื่อโจมตีหน่วยงานทหารและรัฐบาลของสหรัฐฯ และไต้หวัน
  • อุปกรณ์ IoT มากกว่า 200,000 เครื่องได้รับการติดไวรัส โดยมุ่งเน้นไปที่เราเตอร์ โมเด็ม กล้อง IP และระบบ NAS
  • โครงสร้างพื้นฐานของบอตเน็ตมีความแข็งแกร่งโดยใช้เครื่องมือขั้นสูง เช่น แพลตฟอร์ม Sparrow สำหรับการจัดการและการใช้ประโยชน์ระยะไกล
  • หน่วยบังคับใช้กฎหมายของสหรัฐฯ กำลังดำเนินการอย่างแข็งขันเพื่อทำลายโครงสร้างพื้นฐานของบอตเน็ต

    • โดยการเข้าใจยุทธวิธีและเป้าหมายของกลุ่มเช่น Flax Typhoon เราจะปกป้องโครงสร้างพื้นฐานที่สำคัญของเราจากภัยคุกคามทางไซเบอร์ในอนาคตได้ดีขึ้น

    กำลังโหลด...