FBI și cercetătorii în domeniul securității cibernetice au perturbat un masiv botnet chinezesc numit „Raptor Train” care a infectat peste 260.000 de dispozitive de rețea pentru a viza infrastructura critică din SUA și din alte țări.
Botnetul a fost folosit pentru a viza entități din domeniul militar, guvernamental, educațional superior, de telecomunicații, baze industriale de apărare (DIB) și IT, în special în SUA și Taiwan.
Pe parcursul a patru ani, Raptor Train s-a transformat într-o rețea complexă, cu mai multe niveluri, cu un sistem de control de calitate enterprise pentru manipularea a zeci de servere și un număr mare de dispozitive infectate SOHO și de consum: routere și modemuri, NVR-uri și DVR-uri, camere IP și servere de stocare atașate în rețea (NAS).
Raptor Train a început în mai 2020 și pare să fi rămas sub radar până anul trecut, când a fost descoperit de cercetătorii de la Black Lotus Labs, brațul de cercetare și operațiuni în amenințări al Lumen Technologies, în timp ce investigau routerele compromis.
În timp ce încărcătura principală este o variantă a malware-ului Mirai pentru atacuri de denegare distribuită a serviciului (DDoS), pe care cercetătorii o numesc Nosedive, botnetul nu a fost văzut desfășurând astfel de atacuri.
Într-un raport de astăzi, cercetătorii descriu trei niveluri de activitate în cadrul lui Raptor Train, fiecare pentru operații specifice, de exemplu trimiterea sarcinilor, gestionarea serverelor de exploatare sau de încărcătură și sistemele de comandă și control (C2).
Numărul dispozitivelor compromise active în botnet fluctuează, dar cercetătorii cred că mai mult de 200.000 de sisteme au fost infectate de Raptor Train începând din mai 2020, iar la apogeul său în iunie anul trecut controla peste 60.000 de dispozitive.
În prezent, Black Lotus Labs urmărește aproximativ același număr de dispozitive infectate active, fluctuând cu câteva mii începând din august.
Într-o alertă de astăzi despre același botnet, FBI menționează că Raptor Train a infectat mai mult de 260.000 de dispozitive.
Vorbit la Summitul Cyber Aspen mai devreme în acest lună, directorul FBI, Christopher Wray, a spus că Flax Typhoon a lucrat la indicația guvernului chinez.
Pentru a elimina amenințarea, FBI a efectuat operații autorizate de instanță care au condus la preluarea infrastructurii botnetului. În replică, Flax Typhoon a încercat să migreze dispozitivele infectate către servere noi „și chiar a efectuat un atac DDOS împotriva noastră”, a spus Wray.
„În cele din urmă, ca parte a acestei operații am reușit să identificăm mii de dispozitive infectate, și apoi cu autorizarea instanței, am emis comenzi pentru a elimina malware-ul de pe ele, smulgându-le din mâinile Chinei” – Christopher Wray
Într-o bază de date MySQL recuperată de pe un server de management în amonte (Nivel 3), FBI a descoperit că în iunie anul acesta existau peste 1,2 milioane de înregistrări ale dispozitivelor compromise (active și anterior compromise), cu 385.000 de sisteme unice în SUA.
FBI a conectat, de asemenea, botnetul la hackerii sprijiniți de statul Flax Typhoon, spunând că controlul Raptor Train a fost făcut prin compania chineză Integrity Technology Group (Integrity Tech) folosind adrese IP ale Rețelei China Unicom Beijing Province.
Cu o arhitectură care poate gestiona mai mult de 60 de C2-uri și roboții pe care îi gestionează, Raptor Train are în mod obișnuit zeci de mii de dispozitive active de Nivel 1 atunci când este angajat în campanii:
Cercetătorii spun că operatorii Raptor Train adaugă dispozitive în Nivel 1 probabil prin exploatarea „exploatarea a peste 20 de tipuri diferite de dispozitive cu vulnerabilități cunoscute de tip 0-day și n-day.”
Deoarece încărcăturile Nosedive nu au un mecanism de persistență, aceste dispozitive rămân în botnet aproximativ 17 zile și operatorii recrutează altele noi la nevoie.
Rețeaua Nivel 2 este pentru serverele de comandă și control, exploatare și încărcătură pentru dispozitivele de Nivel 1.
Black Lotus Labs face distincție între serverele de încărcătură de primă și a doua etapă, cu primul furnizând o încărcătură mai generică și cel din urmă angajându-se în atacuri mai direcționate asupra anumitor tipuri de dispozitive.
Cercetătorii cred că acest lucru ar putea face parte dintr-un efort de a ascunde mai bine vulnerabilitățile zero-day folosite în atacuri.
De-a lungul timpului, Raptor Train a crescut numărul de servere C2, de la cinci între 2020 și 2022, la 11 anul trecut și mai mult de 60 anul acesta între iunie și august.
Managementul întregului botnet este făcut manual peste SSH sau TLS de la sistemele de Nivel 3 (numite noduri Sparrow de atacator), care trimit comenzi și colectează date precum informații despre roboți și jurnale.
Pentru o operație mai ușoară, nodurile Sparrow ale lui Raptor Train oferă o interfață web (front-end JavaScript), backend și funcții auxiliare pentru a genera încărcături și exploatații.
Black Lotus Labs a urmărit patru campanii Raptor Train începând din 2020 și a descoperit zeci de domenii și adrese IP de Nivel 2 și Nivel 3 utilizate în atacuri.
Începând din mai 2023, într-o campanie pe care cercetătorii o numesc Canaray, operatorii botnetului au arătat un abordaj mai țintit și au adăugat la Raptor Train în principal modemuri ActionTec PK5000, camere IP Hikvision, NVR-uri Shenzhen TVT și routere ASUS RT- și GT-.
Pentru cele aproape două luni în timpul campaniei Canary, un server de Nivel 2 al celei de-a doua etape a infectat cel puțin 16.000 de dispozitive.
Al patrulea efort de recrutare (campania Oriole) pe care cercetătorii l-au observat a început în iunie 2023 și a durat până în septembrie acest an. Luna trecută, botnetul avea cel puțin 30.000 de dispozitive în Nivel 1.
Cercetătorii spun că domeniul C2 w8510[.]com folosit în campania Oriole „a devenit atât de proeminent printre dispozitivele IoT compromise, încât până pe 3 iunie 2024, a fost inclus în clasamentele de domenii Cisco Umbrella” și că până în august a fost și în primele un milion de domenii din Radarul Cloudflare.
„Aceasta este o performanță îngrijorătoare deoarece domeniile care se află în aceste liste de popularitate trec adesea cu vederea instrumentele de securitate prin whitelistarea domeniilor, permitându-le să crească și să-și mențină accesul și să evite detectarea” – Black Lotus Labs
Potrivit cercetătorilor, botnetul a fost folosit în decembrie anul trecut în activități de scanare care au vizat armata SUA, guvernul SUA, furnizorii de IT și bazele industriale de apărare.
Cu toate acestea, se pare că eforturile de vizare sunt globale, deoarece Raptor Train a fost folosit și pentru a vizat o agenție guvernamentală din Kazakhstan.
În plus, Black Lotus Labs notează că botnetul a fost, de asemenea, implicat în încercări de exploatare împotriva serverelor Atlassian Confluence și a aplicațiilor Ivanti Connect Secure (probabil prin CVE-2024-21887) la organizații din aceleași sectoare de activitate.
În prezent, botnetul Raptor Train este cel puțin parțial perturbat deoarece Black Lotus Labs redirecționează traficul către punctele de infrastructură cunoscute, „inclusiv managementul lor distribuit de botnet, infrastructura de C2, încărcătură și exploatare.”
Conform indicatorilor găsiți în timpul investigației, Black Lotus Labs evaluează cu încredere medie până la ridicată că operatorii Raptor Train sunt probabil hackeri chinezi sprijiniți de stat, în special grupul Flax Typhoon.
În sprijinul teoriei nu sunt doar alegerea țintelor, care se aliniază cu interesele chineze, ci și limba folosită în codul sursă și infrastructura, precum și suprapunerea diverselor tactici, tehnici și proceduri.
Cercetătorii au observat că conexiunile nodurilor de management de Nivel 3 la sistemele de Nivel 2 peste SSH au avut loc „aproape exclusiv” în timpul orelor normale de lucru din China.
În plus, descrierea funcțiilor și meniurilor interfeței, comentariile și referințele din codul sursă erau în chineză.
În ciuda faptului că este un botnet sofisticat, există pași pe care utilizatorii și apărătorii rețelelor îi pot lua pentru a se proteja împotriva lui Raptor Train. De exemplu, administratorii de rețea ar trebui să verifice transferurile mari de date de ieșire, chiar dacă adresa IP de destinație este din aceeași zonă.
Consumatorilor li se recomandă să repornească în mod regulat routerele și să instaleze cele mai recente actualizări de la producător. De asemenea, ar trebui să înlocuiască dispozitivele care nu mai sunt acceptate și nu primesc actualizări (sistemele de final de viață).
Microsoft: Hackerii Flax Typhoon folosesc LOLBins discreți pentru a evita detectarea
Hackerii chinezi de la Volt Typhoon au exploatat zero-day-ul Versa pentru a pătrunde în ISP-uri, MSP-uri
CISA: Vendorii trebuie să securizeze routerele SOHO împotriva atacurilor Volt Typhoon
Botnetul Quad7 vizează mai multe routere SOHO și VPN, servere media
Hackerii chinezi legați de sindicatul de cybercrime au fost arestați în Singapore
Leave a Reply