Το FBI και οι ερευνητές στον τομέα της κυβερνοασφάλειας διέκοψαν ένα τεράστιο κινεζικό botnet που ονομάζεται «Raptor Train» που μόλυνε πάνω από 260.000 συσκευές δικτύωσης για να στοχεύσει κρίσιμες υποδομές στις ΗΠΑ και σε άλλες χώρες.
Το botnet έχει χρησιμοποιηθεί για τη στόχευση οντοτήτων στους τομείς του στρατού, της κυβέρνησης, της τριτοβάθμιας εκπαίδευσης, των τηλεπικοινωνιών, της αμυντικής βιομηχανικής βάσης (DIB) και της πληροφορικής, κυρίως στις ΗΠΑ και την Ταϊβάν.
Πάνω από τέσσερα χρόνια, το Raptor Train έχει εξελιχθεί σε ένα πολύπλοκο, πολυεπίπεδο δίκτυο με σύστημα ελέγχου εταιρικής ποιότητας για το χειρισμό δεκάδων διακομιστών και μεγάλου αριθμού μολυσμένων συσκευών SOHO και καταναλωτών: δρομολογητές και μόντεμ, NVR και DVR, κάμερες IP, και διακομιστές αποθήκευσης που συνδέονται με το δίκτυο (NAS).
Botnet πολλαπλών επιπέδων
Το Raptor Train ξεκίνησε τον Μάιο του 2020 και φαίνεται ότι παρέμεινε στο ραντάρ μέχρι πέρυσι, όταν ανακαλύφθηκε από ερευνητές στο Black Lotus Labsο ερευνητικός και επιχειρησιακός βραχίονας απειλών στη Lumen Technologies, ενώ διερευνά παραβιασμένους δρομολογητές.
Ενώ το κύριο ωφέλιμο φορτίο είναι μια παραλλαγή του κακόβουλου λογισμικού Mirai για επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS), τις οποίες οι ερευνητές αποκαλούν Nosedive, το botnet δεν έχει δει να αναπτύσσει τέτοιες επιθέσεις.
Σε μια έκθεση σήμερα, οι ερευνητές περιγράφουν τρία επίπεδα δραστηριότητας στο Raptor Train, το καθένα για συγκεκριμένες λειτουργίες, π.χ. αποστολή εργασιών, διαχείριση διακομιστών εκμετάλλευσης ή ωφέλιμου φορτίου και συστήματα διοίκησης και ελέγχου (C2).
πηγή: Black Lotus Labs
Ο αριθμός των ενεργών παραβιασμένων συσκευών στο botnet κυμαίνεται, αλλά οι ερευνητές πιστεύουν ότι περισσότερα από 200.000 συστήματα έχουν μολυνθεί από το Raptor Train από τότε που ξεκίνησε τον Μάιο του 2020 και έλεγχε περισσότερες από 60.000 συσκευές στο αποκορύφωμά του τον Ιούνιο του περασμένου έτους.
Αυτή τη στιγμή, η Black Lotus Labs παρακολουθεί περίπου τον ίδιο αριθμό ενεργών μολυσμένων συσκευών, με διακυμάνσεις κατά μερικές χιλιάδες από τον Αύγουστο.
Σε μια συναγερμός σήμερα για το ίδιο botnet, το FBI σημειώνει ότι το Raptor Train μόλυνε περισσότερες από 260.000 συσκευές.
πηγή: FBI
Μιλώντας στο Aspen Cyber Summit νωρίτερα αυτό το μήνα, ο διευθυντής του FBI Christopher Wray είπε ότι ο Flax Typhoon εργάστηκε σύμφωνα με τις οδηγίες της κινεζικής κυβέρνησης.
Για να εξαλείψει την απειλή, το FBI εκτέλεσε το Δικαστήριο ενέκρινε επιχειρήσεις που οδήγησαν στον έλεγχο της υποδομής botnet. Σε απάντηση, η Flax Typhoon προσπάθησε να μεταφέρει μολυσμένες συσκευές σε νέους διακομιστές “και μάλιστα πραγματοποίησε επίθεση DDOS εναντίον μας“, είπε ο Wray.
«Τελικά ως μέρος αυτής της επιχείρησης μπορέσαμε να εντοπίσουμε χιλιάδες μολυσμένες συσκευές και στη συνέχεια με δικαστική εξουσιοδότηση εκδόσαμε εντολές για την αφαίρεση κακόβουλου λογισμικού από αυτά, απομακρύνοντάς τα από την λαβή της Κίνας» – Christopher Wray
Σε μια βάση δεδομένων MySQL που ανακτήθηκε από έναν διακομιστή διαχείρισης ανοδικής ροής (Tier 3), το FBI διαπίστωσε ότι τον Ιούνιο του τρέχοντος έτους, υπήρχαν περισσότερα από 1,2 εκατομμύρια αρχεία παραβιασμένων συσκευών (ενεργών και προηγουμένως παραβιασμένων), με 385.000 μοναδικά συστήματα στις Η.Π.Α.
Το FBI συνέδεσε επίσης το botnet με τους χάκερ που χρηματοδοτούνται από το κράτος Flax Typhoon, λέγοντας ότι ο έλεγχος του Raptor Train έγινε μέσω της κινεζικής εταιρείας Integrity Technology Group (Integrity Tech) χρησιμοποιώντας διευθύνσεις IP του δικτύου China Unicom Province Beijing.
Με μια αρχιτεκτονική που μπορεί να χειριστεί περισσότερα από 60 C2 και τα bots που διαχειρίζονται, το Raptor Train έχει συνήθως δεκάδες χιλιάδες ενεργές συσκευές Tier 1 όταν συμμετέχουν σε καμπάνιες:
| Μόντεμ/Δρομολογητές | |
| ActionTec PK5000 | ASUS RT-*/GT-*/ZenWifi |
| TP-LINK | DrayTek Vigor |
| Tenda Wireless | Ruijie |
| Zyxel USG* | Ruckus Wireless |
| VNPT iGate | Mikrotik |
| TOTOLINK | |
| IP Κάμερες | |
| D-LINK DCS-* | Hikvision |
| Mobotix | NUUO |
| ΑΞΟΝΑΣ | Panasonic |
| NVR/DVR | Shenzhen TVT NVR/DVR |
| συσκευές NAS | |
| QNAP (Σειρά TS) | Fujitsu |
| Συνολογία | Zyxel |
Οι ερευνητές λένε ότι οι χειριστές Raptor Train προσθέτουν συσκευές στο Tier 1 πιθανότατα εκμεταλλευόμενοι «περισσότερους από 20 διαφορετικούς τύπους συσκευών με ευπάθειες 0-ημέρας και n-ημέρας (γνωστές)».
Επειδή τα ωφέλιμα φορτία Nosedive δεν διαθέτουν μηχανισμό επιμονής, αυτές οι συσκευές παραμένουν στο botnet για περίπου 17 ημέρες και οι χειριστές προσλαμβάνουν νέες όπως απαιτείται.
Το δίκτυο Tier 2 προορίζεται για διακομιστές εντολών και ελέγχου, εκμετάλλευσης και ωφέλιμου φορτίου για συσκευές Tier 1.
Η Black Lotus Labs κάνει διάκριση μεταξύ των διακομιστών ωφέλιμου φορτίου πρώτου και δεύτερου σταδίου, με τον πρώτο να παρέχει ένα πιο γενικό ωφέλιμο φορτίο και τον δεύτερο να συμμετέχει σε πιο στοχευμένες επιθέσεις σε συγκεκριμένους τύπους συσκευών.
Οι ερευνητές πιστεύουν ότι αυτό μπορεί να είναι μέρος μιας προσπάθειας για την καλύτερη απόκρυψη των τρωτών σημείων zero-day που χρησιμοποιούνται στις επιθέσεις.
Με την πάροδο του χρόνου, η Raptor Train αύξησε τον αριθμό των διακομιστών C2, από έως και πέντε μεταξύ 2020 και 2022, σε 11 πέρυσι και περισσότερους από 60 φέτος μεταξύ Ιουνίου και Αυγούστου.
Η διαχείριση ολόκληρου του botnet γίνεται χειροκίνητα μέσω SSH ή TLS από συστήματα Tier 3 (που ονομάζονται Sparrow nodes από τον εισβολέα), τα οποία στέλνουν εντολές και συλλέγουν δεδομένα όπως πληροφορίες bot και αρχεία καταγραφής.
Για ευκολότερη λειτουργία, οι κόμβοι Sparrow του Raptor Train παρέχουν μια διεπαφή ιστού (Javascript front-end), backend και βοηθητικές λειτουργίες για τη δημιουργία ωφέλιμων φορτίων και εκμεταλλεύσεων.
Εκστρατείες Raptor Train
Η Black Lotus Labs έχει παρακολουθήσει τέσσερις καμπάνιες Raptor Train από το 2020 και ανακάλυψε δεκάδες τομείς και διευθύνσεις IP Tier 2 και Tier 3 που χρησιμοποιούνται στις επιθέσεις.
Από τον Μάιο του 2023, σε μια καμπάνια που οι ερευνητές αποκαλούν Canaray, οι χειριστές botnet έδειξαν μια πιο στοχευμένη προσέγγιση και πρόσθεσαν στο Raptor Train κυρίως μόντεμ ActionTec PK5000, κάμερες IP Hikvision, Shenzhen TVT NVR και δρομολογητές ASUS RT- και GT-.
Για σχεδόν δύο μήνες κατά τη διάρκεια της εκστρατείας Canary, ένας διακομιστής δεύτερου σταδίου Tier 2 μόλυνε τουλάχιστον 16.000 συσκευές.
Η τέταρτη προσπάθεια στρατολόγησης (εκστρατεία Oriole) που παρατήρησαν οι ερευνητές ξεκίνησε τον Ιούνιο του 2023 και διήρκεσε μέχρι τον Σεπτέμβριο του τρέχοντος έτους. Τον περασμένο μήνα, το botnet είχε τουλάχιστον 30.000 συσκευές στο Tier 1.
Οι ερευνητές λένε ότι ο τομέας C2 w8510[.]com που χρησιμοποιήθηκε στην καμπάνια Oriole «έγινε τόσο σημαντική μεταξύ των παραβιασμένων συσκευών IoT, που μέχρι τις 3 Ιουνίου 2024 συμπεριλήφθηκε στην κατάταξη τομέα Cisco Umbrella» και ότι μέχρι τον Αύγουστο βρισκόταν επίσης στον κορυφαίο ένα εκατομμύριο τομείς του Cloudflare Radar.
“Αυτό είναι ένα ανησυχητικό κατόρθωμα επειδή οι τομείς που βρίσκονται σε αυτές τις λίστες δημοτικότητας συχνά παρακάμπτουν τα εργαλεία ασφαλείας μέσω της λίστας επιτρεπόμενων τομέων, επιτρέποντάς τους να αναπτύσσονται και να διατηρούν την πρόσβαση και να αποφεύγουν περαιτέρω τον εντοπισμό” – Black Lotus Labs
Σύμφωνα με τους ερευνητές, το botnet χρησιμοποιήθηκε τον περασμένο Δεκέμβριο σε δραστηριότητες σάρωσης που στόχευαν τον στρατό των ΗΠΑ, την κυβέρνηση των ΗΠΑ, τους παρόχους πληροφορικής και τις αμυντικές βιομηχανικές βάσεις.
Ωστόσο, φαίνεται ότι οι προσπάθειες στόχευσης είναι παγκόσμιες, καθώς το Raptor Train χρησιμοποιήθηκε επίσης για να στοχεύσει μια κυβερνητική υπηρεσία στο Καζακστάν.
Επιπλέον, η Black Lotus Labs σημειώνει ότι το botnet συμμετείχε επίσης σε απόπειρες εκμετάλλευσης διακομιστών Atlassian Confluence και συσκευών Ivanti Connect Secure (πιθανότατα μέσω CVE-2024-21887) σε οργανισμούς στους ίδιους τομείς δραστηριότητας.
Επί του παρόντος, το botnet Raptor Train έχει διακοπεί τουλάχιστον εν μέρει καθώς τα Black Lotus Labs δρομολογούν μηδενική κίνηση προς τα γνωστά σημεία υποδομής, “συμπεριλαμβανομένης της κατανεμημένης διαχείρισης botnet, του C2, του ωφέλιμου φορτίου και της υποδομής εκμετάλλευσης”.
Συνδέεται με κινεζικούς κρατικούς χάκερ
Σύμφωνα με τους δείκτες που βρέθηκαν κατά τη διάρκεια της έρευνας, η Black Lotus Labs αξιολογεί με μέτρια έως υψηλή σιγουριά ότι οι χειριστές του Raptor Train είναι πιθανώς κρατικοί Κινέζοι χάκερ, και συγκεκριμένα η ομάδα Flax Typhoon.
Υποστήριξη της θεωρίας δεν είναι μόνο η επιλογή των στόχων, η οποία ευθυγραμμίζεται με τα κινεζικά συμφέροντα, αλλά και η γλώσσα που χρησιμοποιείται στη βάση κώδικα και την υποδομή, καθώς και η επικάλυψη διαφόρων τακτικών, τεχνικών και διαδικασιών.
Οι ερευνητές παρατήρησαν ότι οι συνδέσεις κόμβων διαχείρισης Tier 3 με συστήματα Tier 2 μέσω SSH πραγματοποιήθηκαν «σχεδόν αποκλειστικά» κατά τη διάρκεια των κανονικών ωρών εργασίας της εβδομάδας της Κίνας.
Επιπλέον, η περιγραφή των λειτουργιών και των μενού διεπαφής, τα σχόλια και οι αναφορές στη βάση κώδικα ήταν στα κινέζικα.
Παρά το γεγονός ότι είναι ένα εξελιγμένο botnet, υπάρχουν βήματα που μπορούν να λάβουν οι χρήστες και οι υπερασπιστές του δικτύου για να προστατευτούν από το Raptor Train. Για παράδειγμα, οι διαχειριστές δικτύου θα πρέπει να ελέγχουν για μεγάλες μεταφορές εξερχόμενων δεδομένων, ακόμα κι αν η IP προορισμού προέρχεται από την ίδια περιοχή.
Συνιστάται στους καταναλωτές να επανεκκινούν τακτικά τους δρομολογητές τους και να εγκαθιστούν τις πιο πρόσφατες ενημερώσεις από τον προμηθευτή. Επίσης, θα πρέπει να αντικαταστήσουν συσκευές που δεν υποστηρίζονται πλέον και δεν λαμβάνουν ενημερώσεις (συστήματα στο τέλος της ζωής τους).
VIA: bleepingcomputer.com
