Nhóm gián điệp mạng Trung Quốc tung ra mạng botnet Raptor Train, nhắm vào quân đội Hoa Kỳ và Đài Loan

Trong một diễn biến gây sốc, các chuyên gia an ninh mạng đã phát hiện ra một hoạt động botnet khổng lồ do một nhóm gián điệp do nhà nước Trung Quốc tài trợ dàn dựng. Botnet này, có tên mã là Raptor Train , đã xâm nhập vào hàng trăm nghìn thiết bị văn phòng/văn phòng tại nhà nhỏ (SOHO) và Internet vạn vật (IoT), khiến cơ sở hạ tầng quan trọng tại Hoa Kỳ và Đài Loan gặp rủi ro. Botnet chủ yếu nhắm vào các lĩnh vực như quân đội, chính phủ, giáo dục đại học, viễn thông và các cơ sở công nghiệp quốc phòng.

Raptor Train là mối đe dọa đa cấp

Theo báo cáo của Black Lotus Labs, bộ phận nghiên cứu của Lumen Technologies, botnet này được xây dựng bởi nhóm tin tặc Trung Quốc có tên là Flax Typhoon . Nhóm Advanced Persistent Threat (APT) này khét tiếng vì đã xâm nhập vào các tổ chức Đài Loan trong khi vẫn ẩn mình bằng cách sử dụng phần mềm độc hại tối thiểu và các công cụ phần mềm hợp pháp. Black Lotus Labs ước tính rằng botnet này đã lây nhiễm hơn 200.000 thiết bị kể từ khi ra mắt vào tháng 5 năm 2020. Vào thời kỳ đỉnh điểm, vào giữa năm 2023, hơn 60.000 thiết bị đã bị xâm phạm tích cực.

Cơ sở hạ tầng chỉ huy và kiểm soát (C2) đằng sau botnet rất tinh vi. Phần phụ trợ được cung cấp bởi nền tảng Node.js tập trung, trong khi một công cụ giao diện người dùng đa nền tảng có tên là Sparrow quản lý các thiết bị bị xâm phạm. Sparrow được thiết kế để thực thi lệnh từ xa, quản lý lỗ hổng, tạo điều kiện thuận lợi cho việc truyền tệp và có khả năng khởi chạy các cuộc tấn công từ chối dịch vụ phân tán (DDoS). Tuy nhiên, vẫn chưa có hoạt động DDoS nào được báo cáo từ botnet.

Khai thác thiết bị IoT để do thám

Mạng botnet Raptor Train được chia thành ba cấp. Cấp 1 bao gồm các thiết bị IoT bị xâm phạm như bộ định tuyến, modem, camera IP và hệ thống lưu trữ gắn mạng (NAS). Các thiết bị này liên tục được luân chuyển, duy trì hoạt động trung bình 17 ngày trước khi được thay thế. Cấp 2 chịu trách nhiệm khai thác máy chủ và nút C2, trong khi Cấp 3 quản lý mạng thông qua nền tảng Sparrow .

Hơn 20 loại thiết bị khác nhau, bao gồm modem từ ActionTec, ASUS và DrayTek Vigor, cùng với camera IP từ D-Link, Hikvision và Panasonic, đang bị khai thác bằng cách kết hợp các lỗ hổng zero-day và các lỗ hổng đã biết. Phần mềm độc hại cung cấp năng lượng cho các nút Tier 1, được gọi là Nosedive , là một biến thể của phần mềm cấy ghép Mirai khét tiếng. Nosedive hoạt động hoàn toàn trong bộ nhớ, khiến nó cực kỳ khó phát hiện và lây nhiễm cho nhiều loại thiết bị, bao gồm cả những thiết bị có kiến trúc MIPS, ARM, SuperH và PowerPC.

Nhắm mục tiêu vào cơ sở hạ tầng quan trọng của Hoa Kỳ và Đài Loan

Botnet đã quét và nhắm mục tiêu rộng rãi vào các lĩnh vực quân sự và chính phủ quan trọng của Hoa Kỳ, cũng như các tổ chức trong cơ sở công nghiệp quốc phòng (DIB). Các nhà nghiên cứu tại Black Lotus Labs đã quan sát thấy hoạt động của botnet nhằm khai thác phần mềm dễ bị tấn công như máy chủ Atlassian Confluence và thiết bị Ivanti Connect Secure, tập trung vào Hoa Kỳ và Đài Loan.

Trong một trường hợp, những kẻ điều hành botnet đã nhắm vào một cơ quan chính phủ ở Kazakhstan, minh họa cho phạm vi hoạt động toàn cầu của Raptor Train. Các cuộc tấn công dựa vào các công cụ tùy chỉnh và các kỹ thuật tiên tiến, khiến việc xác định và vô hiệu hóa botnet trở nên khó khăn.

Thực thi pháp luật và phản ứng của ngành

Để ứng phó với mối đe dọa do botnet Raptor Train gây ra, Black Lotus Labs đã định tuyến lưu lượng từ các nút botnet và cơ sở hạ tầng đã biết. Các cơ quan thực thi pháp luật Hoa Kỳ đang tích cực làm việc để phá hủy botnet, vẫn là mối đe dọa đáng sợ đối với cơ sở hạ tầng quan trọng trên toàn thế giới.

Trong khi mục tiêu chính của botnet là gián điệp, khả năng thực thi lệnh từ xa và quản lý lỗ hổng của nó làm dấy lên mối lo ngại về các cuộc tấn công DDoS tiềm ẩn hoặc các hoạt động phá hoại khác. Khi cộng đồng an ninh mạng tiếp tục theo dõi và giảm thiểu mối đe dọa này, các tổ chức trên khắp Hoa Kỳ và Đài Loan phải luôn cảnh giác trong việc bảo vệ các thiết bị và mạng IoT của họ khỏi bị khai thác thêm.

Việc phát hiện ra botnet Raptor Train là lời nhắc nhở nghiêm khắc về tính dễ bị tổn thương của các thiết bị IoT trong thế giới kết nối ngày nay. Với các nhóm gián điệp mạng Trung Quốc nhắm vào các lĩnh vực quan trọng của Hoa Kỳ và Đài Loan, việc duy trì các biện pháp an ninh mạng mạnh mẽ chưa bao giờ quan trọng hơn thế. Các tổ chức nên đảm bảo rằng mạng lưới và thiết bị của họ được vá và cập nhật thường xuyên để chống lại botnet tinh vi này.

Những điểm chính cần ghi nhớ :

• Nhóm APT Flax Typhoon đã xây dựng mạng botnet Raptor Train, nhắm vào các tổ chức quân sự và chính phủ Hoa Kỳ và Đài Loan.
• Hơn 200.000 thiết bị IoT đã bị nhiễm, tập trung vào bộ định tuyến, modem, camera IP và hệ thống NAS.

Bằng cách hiểu được chiến thuật và mục tiêu của các nhóm như Flax Typhoon, chúng ta có thể bảo vệ tốt hơn cơ sở hạ tầng quan trọng của mình khỏi các mối đe dọa mạng trong tương lai.