Çoklu Lisans İndirim Teklifi
Bilgisayar Güvenliği Çin Siber Casusluk Grubu, ABD ve Tayvan Ordularını Hedef...

Çin Siber Casusluk Grubu, ABD ve Tayvan Ordularını Hedef Alan Raptor Train Botnet'ini Serbest Bıraktı

Mura'de Bilgisayar Güvenliği'de
Çevir:
Türkçe

Şok edici bir gelişmede, siber güvenlik uzmanları Çin devlet destekli bir casusluk grubu tarafından düzenlenen büyük bir botnet operasyonunu ortaya çıkardı. Kod adı Raptor Train olan bu botnet, yüz binlerce küçük ofis/ev ofisi (SOHO) ve Nesnelerin İnterneti (IoT) cihazını tehlikeye atarak ABD ve Tayvan'daki kritik altyapıyı riske attı. Botnet, öncelikle askeriye, hükümet, yüksek öğrenim, telekomünikasyon ve savunma sanayi üsleri gibi sektörleri hedef alıyor.

Raptor Treni Çok Katmanlı Bir Tehdittir

Lumen Technologies'in araştırma kolu olan Black Lotus Labs'ın bir raporuna göre, botnet, Flax Typhoon olarak bilinen Çinli hacker grubu tarafından oluşturuldu. Bu Gelişmiş Sürekli Tehdit (APT) grubu, asgari düzeyde kötü amaçlı yazılım ve meşru yazılım araçları kullanarak gizliliği korurken Tayvanlı kuruluşlara sızmakla ünlüdür. Black Lotus Labs, botnet'in Mayıs 2020'deki başlangıcından bu yana 200.000'den fazla cihazı enfekte ettiğini tahmin ediyor. Zirvesinde, 2023 ortalarında, 60.000'den fazla cihaz aktif olarak tehlikeye atıldı.

Botnet'in arkasındaki komuta ve kontrol (C2) altyapısı oldukça karmaşıktır. Arka uç, merkezi bir Node.js platformu tarafından desteklenirken, Sparrow adlı çapraz platformlu bir ön uç aracı, tehlikeye atılan cihazları yönetir. Sparrow, komutları uzaktan yürütmek, güvenlik açıklarını yönetmek, dosya transferlerini kolaylaştırmak ve potansiyel olarak dağıtılmış hizmet reddi (DDoS) saldırıları başlatmak için tasarlanmıştır. Ancak, botnet'ten henüz hiçbir DDoS etkinliği bildirilmedi.

Nesnelerin İnterneti Cihazlarının Casusluk Amaçlı Kullanımı

Raptor Train botnet'i üç kademeye ayrılmıştır. 1. Kademe, yönlendiriciler, modemler, IP kameralar ve ağa bağlı depolama (NAS) sistemleri gibi tehlikeye atılmış IoT cihazlarından oluşur. Bu cihazlar sürekli olarak döndürülür ve değiştirilmeden önce ortalama 17 gün boyunca aktif kalır. 2. Kademe, istismar sunucularından ve C2 düğümlerinden sorumluyken 3. Kademe, ağı Sparrow platformu aracılığıyla yönetir.

ActionTec, ASUS ve DrayTek Vigor'dan modemler ile D-Link, Hikvision ve Panasonic'ten IP kameralar dahil 20'den fazla farklı cihaz türü, sıfır gün ve bilinen güvenlik açıklarının bir karışımı kullanılarak istismar ediliyor. Nosedive olarak adlandırılan Tier 1 düğümlerini çalıştıran kötü amaçlı yazılım, kötü şöhretli Mirai implantının bir çeşididir. Nosedive tamamen bellekte çalışır, bu da tespit edilmesini son derece zorlaştırır ve MIPS, ARM, SuperH ve PowerPC mimarilerine sahip olanlar dahil olmak üzere çok çeşitli cihazları etkiler.

Kritik ABD ve Tayvan Altyapısını Hedefleme

Botnet, ABD'nin önemli askeri ve hükümet sektörlerinin yanı sıra savunma sanayi üssü (DIB) içindeki kuruluşları kapsamlı bir şekilde tarıyor ve hedefliyor. Black Lotus Labs'daki araştırmacılar, ABD ve Tayvan'a odaklanarak Atlassian Confluence sunucuları ve Ivanti Connect Secure cihazları gibi savunmasız yazılımları istismar etmeyi amaçlayan botnet aktivitesini gözlemlediler.

Bir örnekte, botnet operatörleri Kazakistan'daki bir devlet kurumunu hedef aldı ve Raptor Train operasyonunun küresel erişimini gösterdi. Saldırılar özel araçlara ve gelişmiş tekniklere dayandığından botnet'i tespit etmek ve etkisiz hale getirmek zordu.

Hukuk Uygulaması ve Endüstri Tepkisi

Raptor Train botnet'inin oluşturduğu tehdide yanıt olarak, Black Lotus Labs bilinen botnet düğümlerinden ve altyapıdan gelen trafiği boş yönlendirdi. ABD kolluk kuvvetleri, dünya çapında kritik altyapılar için tehdit oluşturmaya devam eden botnet'i ortadan kaldırmak için aktif olarak çalışıyor.

Botnet'in birincil odak noktası casusluk olsa da, uzaktan komut yürütme ve güvenlik açığı yönetimi yeteneği olası DDoS saldırıları veya diğer yıkıcı faaliyetler konusunda endişelere yol açıyor. Siber güvenlik topluluğu bu tehdidi izlemeye ve azaltmaya devam ederken, ABD ve Tayvan genelindeki kuruluşlar IoT cihazlarını ve ağlarını daha fazla istismara karşı güvence altına alma konusunda dikkatli olmalıdır.

Raptor Train botnet'inin keşfi, günümüzün birbirine bağlı dünyasında IoT cihazlarının ne kadar savunmasız olduğunun çarpıcı bir hatırlatıcısı olarak hizmet ediyor. Çin siber casusluk gruplarının kritik ABD ve Tayvan sektörlerini hedeflemesiyle, güçlü siber güvenlik önlemlerini sürdürmek hiç bu kadar önemli olmamıştı. Kuruluşlar, bu karmaşık botnet'e karşı savunmak için ağlarının ve cihazlarının düzenli olarak yamalandığından ve güncellendiğinden emin olmalıdır.

Önemli Noktalar :

  • APT grubu Flax Typhoon, ABD ve Tayvan askeri ve hükümet kuruluşlarını hedef alan Raptor Train botnetini kurdu.
  • 200.000'den fazla IoT cihazı enfekte oldu; bunların arasında yönlendiriciler, modemler, IP kameralar ve NAS sistemleri yer alıyor.
  • Botnet'in altyapısı sağlam olup, uzaktan yönetim ve istismar için Sparrow platformu gibi gelişmiş araçlar kullanılıyor.
  • ABD kolluk kuvvetleri botnetin altyapısını etkisiz hale getirmek için aktif olarak çalışıyor.

    • Flax Typhoon gibi grupların taktiklerini ve hedeflerini anlayarak kritik altyapımızı gelecekteki siber tehditlere karşı daha iyi koruyabiliriz.

    Yükleniyor...