中國網路間諜組織釋放猛禽列車殭屍網絡，針對美國和台灣軍隊

令人震驚的是，網路安全專家發現了一個由中國國家支持的間諜組織精心策劃的大規模殭屍網路行動。該殭屍網路代號為Raptor Train ，已危害數十萬個小型辦公室/家庭辦公室 (SOHO) 和物聯網 (IoT) 設備，使美國和台灣的關鍵基礎設施面臨風險。該殭屍網路主要針對軍事、政府、高等教育、電信和國防工業基地等部門。

猛禽列車是個多層次的威脅

根據 Lumen Technologies 旗下研究機構 Black Lotus Labs 的報告，該殭屍網路是由名為Flax Typhoon 的中國駭客組織所建構的。這個高級持續性威脅 (APT) 組織因滲透台灣組織而臭名昭著，同時透過使用最少的惡意軟體和合法軟體工具來保持隱密性。 Black Lotus Labs 估計，自 2020 年 5 月啟動以來，該殭屍網路已感染超過 20 萬台裝置。

殭屍網路背後的命令與控制 (C2) 基礎架構非常複雜。後端由集中式 Node.js 平台提供支持，而名為Sparrow的跨平台前端工具則負責管理受感染的設備。 Sparrow旨在遠端執行命令、管理漏洞、促進檔案傳輸，並可能發動分散式阻斷服務 (DDoS) 攻擊。不過，尚未報告該殭屍網路有任何 DDoS 活動。

利用物聯網設備進行間諜活動

Raptor Train 殭屍網路分為三層。第一層由受損的物聯網設備組成，例如路由器、數據機、IP 攝影機和網路附加儲存 (NAS) 系統。這些設備不斷輪換，在更換前平均保持活動狀態 17 天。第 2 層負責開發伺服器和 C2 節點，第 3 層透過Sparrow平台管理網路。

超過 20 種不同類型的設備，包括 ActionTec、ASUS 和 DrayTek Vigor 的數據機，以及 D-Link、Hikvision 和 Panasonic 的 IP 攝影機，正在利用零日漏洞和已知漏洞的組合進行利用。為第 1 層節點提供支援的惡意軟體被稱為Nosedive ，是臭名昭著的 Mirai 植入程式的變體。 Nosedive完全在記憶體中運行，使其極難檢測，並感染多種設備，包括採用 MIPS、ARM、SuperH 和 PowerPC 架構的設備。

針對美國和台灣的關鍵基礎設施

該殭屍網路一直在廣泛掃描並針對美國關鍵軍事和政府部門以及國防工業基地 (DIB) 內的組織。 Black Lotus Labs 的研究人員觀察到旨在利用 Atlassian Confluence 伺服器和 Ivanti Connect Secure 設備等易受攻擊軟體的殭屍網路活動，並專注於美國和台灣。

在一個例子中，殭屍網路營運商以哈薩克的政府機構為目標，這說明了「猛禽列車」行動的全球影響力。這些攻擊依賴於客製化工具和先進技術，因此很難識別和消滅殭屍網路。

執法和產業反應

為了應對 Raptor Train 殭屍網路構成的威脅，Black Lotus Labs 對來自已知殭屍網路節點和基礎設施的流量進行了零路由。美國執法機構正在積極努力拆除該殭屍網絡，該網絡仍然對全球關鍵基礎設施構成迫在眉睫的威脅。

雖然殭屍網路的主要關注點是間諜活動，但其遠端命令執行和漏洞管理的能力引起了人們對潛在 DDoS 攻擊或其他破壞性活動的擔憂。隨著網路安全社群持續監控和減輕這一威脅，美國和台灣各地的組織必須保持警惕，確保其物聯網設備和網路免於進一步利用。

Raptor Train 殭屍網路的發現清楚地提醒我們物聯網設備在當今互聯世界中的脆弱性。隨著中國網路間諜組織瞄準美國和台灣的關鍵部門，維持強而有力的網路安全措施變得前所未有的重要。組織應確保定期修補和更新其網路和設備，以防禦這種複雜的殭屍網路。

要點：

• APT 組織 Flax Typhoon 建構了 Raptor Train 殭屍網絡，針對美國和台灣的軍事和政府實體。
• 超過 20 萬台物聯網設備已被感染，主要集中在路由器、數據機、IP 攝影機和 NAS 系統。

透過了解亞麻颱風等組織的策略和目標，我們可以更好地保護我們的關鍵基礎設施免受未來的網路威脅。