Inilabas ng Chinese Cyber Espionage Group ang Raptor Train Botnet, Tinatarget ang mga Militar ng US at Taiwan
Sa isang nakakagulat na pag-unlad, natuklasan ng mga eksperto sa cybersecurity ang isang napakalaking operasyon ng botnet na inayos ng isang grupo ng espionage na inisponsor ng estado ng China. Ang botnet na ito, na may codenamed Raptor Train , ay nakompromiso ang daan-daang libong maliliit na opisina/home office (SOHO) at Internet of Things (IoT) na device, na naglalagay sa kritikal na imprastraktura sa US at Taiwan sa panganib. Pangunahing pinupuntirya ng botnet ang mga sektor gaya ng militar, gobyerno, mas mataas na edukasyon, telekomunikasyon, at mga baseng industriyal ng depensa.
Talaan ng mga Nilalaman
Ang Raptor Train ay Isang Multi-Tiered na Banta
Ayon sa ulat ng Black Lotus Labs, ang research arm ng Lumen Technologies, ang botnet ay itinayo ng Chinese hacking group na kilala bilang Flax Typhoon . Ang Advanced Persistent Threat (APT) group na ito ay sikat sa paglusot sa mga organisasyon ng Taiwan habang pinapanatili ang stealth sa pamamagitan ng paggamit ng minimal na malware at mga lehitimong software tool. Tinatantya ng Black Lotus Labs na ang botnet ay na-infect ang mahigit 200,000 device mula nang magsimula ito noong Mayo 2020. Sa pinakamataas nito, noong kalagitnaan ng 2023, mahigit 60,000 device ang aktibong nakompromiso.
Ang command-and-control (C2) na imprastraktura sa likod ng botnet ay napaka-sopistikado. Ang backend ay pinapagana ng isang sentralisadong platform ng Node.js, habang pinamamahalaan ng isang cross-platform na front-end na tool na tinatawag na Sparrow ang mga nakompromisong device. Ang Sparrow ay idinisenyo upang magsagawa ng mga utos nang malayuan, pamahalaan ang mga kahinaan, mapadali ang mga paglilipat ng file, at, potensyal, maglunsad ng mga distributed denial-of-service (DDoS) na pag-atake. Gayunpaman, wala pang aktibidad ng DDoS na naiulat mula sa botnet.
Pagsasamantala sa mga IoT Device para sa Espionage
Ang Raptor Train botnet ay nahahati sa tatlong tier. Ang Tier 1 ay binubuo ng mga nakompromisong IoT device gaya ng mga router, modem, IP camera, at network-attached storage (NAS) system. Ang mga device na ito ay patuloy na iniikot, na nananatiling aktibo sa average na 17 araw bago palitan. Ang Tier 2 ay responsable para sa mga server ng pagsasamantala at mga C2 node, habang pinamamahalaan ng Tier 3 ang network sa pamamagitan ng Sparrow platform.
Mahigit sa 20 iba't ibang uri ng mga device, kabilang ang mga modem mula sa ActionTec, ASUS, at DrayTek Vigor, kasama ang mga IP camera mula sa D-Link, Hikvision, at Panasonic, ay pinagsasamantalahan gamit ang kumbinasyon ng zero-day at kilalang mga kahinaan. Ang malware na nagpapagana sa Tier 1 nodes, na tinatawag na Nosedive , ay isang variant ng kasumpa-sumpa na Mirai implant. Ang Nosedive ay ganap na gumagana sa memorya, na ginagawang lubhang mahirap na matukoy, at nakakahawa ng malawak na hanay ng mga device, kabilang ang mga may MIPS, ARM, SuperH, at PowerPC na mga arkitektura.
Pag-target sa Kritikal na US at Taiwanese Infrastructure
Ang botnet ay malawakang nag-scan at nagta-target sa mga pangunahing sektor ng militar at gobyerno ng US, pati na rin ang mga organisasyon sa loob ng defense industrial base (DIB). Naobserbahan ng mga mananaliksik sa Black Lotus Labs ang aktibidad ng botnet na naglalayong pagsamantalahan ang mahinang software tulad ng mga server ng Atlassian Confluence at Ivanti Connect Secure appliances, na nakatuon sa US at Taiwan.
Sa isang pagkakataon, na-target ng mga botnet operator ang isang ahensya ng gobyerno sa Kazakhstan, na naglalarawan ng pandaigdigang abot ng operasyon ng Raptor Train. Ang mga pag-atake ay umaasa sa mga custom na tool at advanced na diskarte, na nagpapahirap sa pagtukoy at pag-neutralize sa botnet.
Pagpapatupad ng Batas at Tugon sa Industriya
Bilang tugon sa banta ng Raptor Train botnet, ang Black Lotus Labs ay may null-routed na trapiko mula sa mga kilalang botnet node at imprastraktura. Ang mga ahensyang nagpapatupad ng batas ng US ay aktibong nagtatrabaho upang lansagin ang botnet, na nananatiling isang nagbabantang banta sa kritikal na imprastraktura sa buong mundo.
Bagama't ang pangunahing pokus ng botnet ay paniniktik, ang kakayahan nito para sa malayuang pagpapatupad ng command at pangangasiwa ng kahinaan ay nagdudulot ng mga alalahanin tungkol sa mga potensyal na pag-atake ng DDoS o iba pang nakakagambalang aktibidad. Habang patuloy na sinusubaybayan at pinapagaan ng komunidad ng cybersecurity ang banta na ito, dapat manatiling mapagbantay ang mga organisasyon sa buong US at Taiwan sa pag-secure ng kanilang mga IoT device at network laban sa karagdagang pagsasamantala.
Ang pagkatuklas ng Raptor Train botnet ay nagsisilbing matinding paalala ng kahinaan ng mga IoT device sa interconnected na mundo ngayon. Sa mga Chinese cyber espionage group na nagta-target sa mga kritikal na sektor ng US at Taiwan, ang pagpapanatili ng matibay na mga hakbang sa cybersecurity ay hindi naging mas mahalaga. Dapat tiyakin ng mga organisasyon na ang kanilang mga network at device ay regular na na-patch at ina-update upang ipagtanggol laban sa sopistikadong botnet na ito.
Mga Pangunahing Takeaway :
- Ang grupong APT na Flax Typhoon ay gumawa ng Raptor Train botnet, na nagta-target sa mga entidad ng militar at gobyerno ng US at Taiwan.
- Mahigit 200,000 IoT device ang nahawahan, na may pagtuon sa mga router, modem, IP camera, at NAS system.
Sa pamamagitan ng pag-unawa sa mga taktika at target ng mga grupo tulad ng Flax Typhoon, mas mapoprotektahan natin ang ating kritikal na imprastraktura mula sa mga banta sa cyber sa hinaharap.