Китайська кібершпигунська група запускає ботнет Raptor Train, націлений на армію США та Тайваню
Експерти з кібербезпеки викрили масштабну операцію в ботнеті, організовану китайською шпигунською групою, що спонсорується державою. Цей ботнет під кодовою назвою Raptor Train скомпрометував сотні тисяч пристроїв малого офісу/домашнього офісу (SOHO) та пристроїв Інтернету речей (IoT), поставивши під загрозу критичну інфраструктуру в США та Тайвані. Ботнет націлений насамперед на такі сектори, як військовий, державний, вища освіта, телекомунікації та оборонно-промислові бази.
Зміст
Потяг Raptor — це багаторівнева загроза
Відповідно до звіту Black Lotus Labs, дослідницького підрозділу Lumen Technologies, ботнет створила китайська хакерська група, відома як Flax Typhoon . Ця група Advanced Persistent Threa (APT) сумно відома тим, що проникає в тайванські організації, зберігаючи при цьому скритність, використовуючи мінімальну кількість зловмисного програмного забезпечення та законні програмні засоби. За оцінками Black Lotus Labs, з моменту створення в травні 2020 року ботнет заразив понад 200 000 пристроїв. На піку в середині 2023 року більше 60 000 пристроїв було активно зламано.
Командно-контрольна (C2) інфраструктура, що стоїть за ботнетом, є дуже складною. Бекенд працює на централізованій платформі Node.js, тоді як міжплатформний інтерфейс під назвою Sparrow керує скомпрометованими пристроями. Sparrow призначений для віддаленого виконання команд, керування вразливими місцями, полегшення передачі файлів і, потенційно, запуску розподілених атак типу «відмова в обслуговуванні» (DDoS). Однак про DDoS-активність ботнету поки що не повідомлялося.
Використання пристроїв Інтернету речей для шпигунства
Ботнет Raptor Train ділиться на три рівні. Рівень 1 складається із скомпрометованих пристроїв IoT, таких як маршрутизатори, модеми, IP-камери та системи мережевого зберігання даних (NAS). Ці пристрої постійно змінюються, залишаючись активними в середньому 17 днів перед заміною. Рівень 2 відповідає за експлуатаційні сервери та вузли C2, тоді як рівень 3 керує мережею через платформу Sparrow .
Понад 20 різних типів пристроїв, включаючи модеми від ActionTec, ASUS і DrayTek Vigor, а також IP-камери від D-Link, Hikvision і Panasonic, використовуються з використанням суміші нульового дня та відомих уразливостей. Зловмисне програмне забезпечення, яке працює на вузлах Tier 1 під назвою Nosedive , є варіантом сумнозвісного імпланта Mirai. Nosedive працює виключно в пам’яті, що робить його надзвичайно складним для виявлення, і заражає широкий спектр пристроїв, включно з архітектурами MIPS, ARM, SuperH і PowerPC.
Орієнтація на важливу інфраструктуру США та Тайваню
Ботнет інтенсивно сканував ключові військові та урядові сектори США, а також організації в рамках оборонно-промислової бази (DIB). Дослідники з Black Lotus Labs спостерігали за активністю ботнету, спрямованою на використання вразливого програмного забезпечення, такого як сервери Atlassian Confluence та пристрої Ivanti Connect Secure, зосереджуючись на США та Тайвані.
В одному випадку оператори ботнету націлилися на державну установу в Казахстані, що свідчить про глобальне охоплення операції Raptor Train. Атаки покладаються на спеціальні інструменти та передові методи, що ускладнює ідентифікацію та нейтралізацію ботнету.
Реагування правоохоронних органів і промисловості
У відповідь на загрозу, яку представляє ботнет Raptor Train, Black Lotus Labs має нульову маршрутизацію трафіку з відомих вузлів та інфраструктури ботнету. Правоохоронні органи США активно працюють над демонтажем ботнету, який залишається загрозою критичній інфраструктурі в усьому світі.
Хоча основна увага ботнету спрямована на шпигунство, його здатність віддалено виконувати команди та керувати вразливими місцями викликає занепокоєння щодо потенційних DDoS-атак або інших руйнівних дій. Оскільки спільнота кібербезпеки продовжує відстежувати та пом’якшувати цю загрозу, організації в США та Тайвані повинні бути пильними, захищаючи свої пристрої та мережі IoT від подальшої експлуатації.
Виявлення ботнету Raptor Train служить яскравим нагадуванням про вразливість пристроїв Інтернету речей у сучасному взаємопов’язаному світі. Оскільки китайські кібершпигунські групи націлені на критично важливі сектори США та Тайваню, дотримання жорстких заходів кібербезпеки ніколи не було настільки важливим. Організації повинні гарантувати, що їхні мережі та пристрої регулярно виправляються та оновлюються для захисту від цього складного ботнету.
Ключові висновки :
- Група APT Flax Typhoon створила ботнет Raptor Train, націлений на військові та урядові організації США та Тайваню.
- Було заражено понад 200 000 пристроїв IoT, зосереджені на маршрутизаторах, модемах, IP-камерах і системах NAS.
Розуміючи тактику та цілі таких груп, як Flax Typhoon, ми можемо краще захистити нашу критично важливу інфраструктуру від майбутніх кіберзагроз.