Raptor Train botnet inficirao 1,2 miliona uređaja

AUTOR ·

Raptor Train botnet je sofisticirana, višeslojna infrastruktura za komandu i kontrolu (C2) koja prvenstveno cilja modeme, rutere, IP kamere, NAS uređaje i druge IoT uređaje. Utvrđeno je da ovaj botnet, povezan sa hakerima koje sponzoriše država, poznatim kao Flax Typhoon, kontrolisao preko 1,2 miliona kompromitovanih uređaja širom sveta, sa približno 385.000 samo u Sjedinjenim Američkim Državama.

Raptor Train

Raptor Train botnet inficirao 1,2 miliona uređaja; Source: Bing Image Creator

RAPTOR TRAIN BOTNET

Ovu prijetnju su otkrili sigurnosni istraživači kompanije otkrili sigurnosni istraživači kompanije Lumen Technologies sredinom 2023. godine i dokumentovali je u svom izvještaju objavljenom krajem septembra 2024. godine. Sigurnosni istraživači su identifikovali i opsežno proučavali botnet Raptor Train, koi predstavlja ozbiljnu sajber prijetnju povezanu sa hakerima koje sponzoriše država. Ova sofisticirana mreža, povezana je Flax Typhoon grupom preko Integrity Technology Group (Integrity Tech) u Kini, poznata je po velikoj kontroli nad kompromitovanim uređajima širom sveta.

Botnet arhitektura je dizajnirana da rukuje višestrukim komandnim i kontrolnim (C2) serverima, sa desetinama hiljada aktivnih uređaja Nivo 1 kada su angažovani u kampanjama. Ovi uređaji uključuju različite vrste modema, rutera, IP kamera, mrežnog skladištenja (NAS) i drugih uređaja za internet stvari (IoT) proizvođača kao što su ActionTec PK5000, ASUS, TPLINK, DrayTek Vigor, Hikvision, QNAP, Synology, između ostalih.

 

Flax Typhoon je ciljao kritičnu infrastrukturu širom SAD i inostranstva, sve od korporacija i medijskih organizacija do univerziteta i vladinih agencija. Kao i Volt Typhoon, koristili su uređaje povezane sa Internetom, ovoga puta stotine hiljada njih, da kreiraju botnet koji im je pomogao da kompromituju sisteme i eksfiltriraju povjerljive podatke. Flax Typhoon postupci najeli su pravu štetu njegovim žrtvama koje su morale da posvete dragocjeno vreme da očiste nered.”

FBI Director Christopher Wray, Aspen Cyber Summit

 

Statistika inficiranih uređaja

Sa arhitekturom koja može da podnese više od 60 C2 servera i botovima kojima upravlja, Raptor Train obično ima desetine hiljada aktivnih uređaja Nivo 1 kada je angažovan u kampanjama. Ovaj nivo se sastoji od kompromitovanih SOHO i IoT uređaja, uključujući modeme, rutere, IP kamere, NVR/DVR uređaje i NAS uređaje. Ovo uključuje, ali ne mora biti ograničeno na sljedeće:

 

  • Modemi/Ruteri:
    • ActionTec PK5000,
    • ASUS RT-*/GT-*/ZenWifi
    • TP-LINK
    • DrayTek Vigor
    • Tenda Wireless
    • Ruijie
    • Zyxel USG*
    • Ruckus Wireless
    • VNPT iGate
    • Mikrotik
    • TOTOLINK

 

  • IP kamere:
    • D-LINK DCS-*
    • Hikvision
    • Mobotix
    • NUUO
    • AXIS
    • Panasonic

 

  • NVR/DVR uređaji:
    • Shenzhen TVT NVRs/DVRs

 

  • NAS uređaji:
    • QNAP (TS Series)
    • Fujitsu
    • Synology
    • Zyxel

 

Više od polovine Raptor Train zaraženih uređaja nalazilo se u Sjevernoj Americi, a još 25 odsto u Evropi:

Kontinent Broj čvorova Procenat
Sjeverna Amerika 135,300 51.3%
Evropa 65,600 24.9%
Azija 50,400 19.1%
Afrika 9,200 3.5%
Okeanija 2,400 0.9%
Južna Amerika 800 0.3%

 

Raptor Train koncentracija po zemljama:

Zemlja Broj čvorova Procenat
Sjedinjene Američke Države 126,000 47.9%
Vijetnam 21,100 8.0%
Njemačka 18,900 7.2%
Rumunija 9,600 3.7%
Hong Kong 9,400 3.6%
Kanada 9,200 3.5%
Južna Afrika 9,000 3.4%
Velika Britanija 8,500 3.2%
Indija 5,800 2.2%
Francuska 5,600 2.1%
Bangladeš 4,100 1.6%
Italija 4,000 1.5%
Litvanija 3,300 1.3%
Albanija 2,800 1.1%
Nizozemska 2,700 1.0%
Kina 2,600 1.0%
Australija 2,400 0.9%
Poljska 2,100 0.8%
Španija 2,000 0.8%

Funkcionisanje

Poznato je da Raptor Train operateri koriste više od 20 različitih tipova uređaja koristeći ranjivosti nultog dana (eng. zero-day) i n-dana (eng. n-day) za uključivanje u Nivo 1 čvorove. Jednom kompromitovani, ovi uređaji ostaju u botnetu oko 17 dana pre nego što budu zamijenjeni novim. Raptor Train mreža je podijeljena na nekoliko nivoa: Nivo 1 se sastoji od kompromitovanih SOHO i IoT uređaja; Nivo 2 sadrži servere za eksploataciju, servere korisnog opterećenja, C2 servere i upravljačke čvorove; dok Nivo 3 uključuje upstream servere za upravljanje.

Raptor Train operateri koriste složenu postavku sa centralizovanim Node.js pozadinom i višeplatformskom aplikacijom pod nazivom “Sparrow”. Ovo podešavanje podržava funkcije poput daljinskog izvršavanja komandi, prenosa datoteka, upravljanja ranjivostima i mogućnosti distribuiranog uskraćivanja usluge (eng. Distributed Denial-of-Service – DDoS), iako do sada nisu prijavljeni nikakvi uočeni napadi distribuiranog uskraćivanja usluge (DDoS).

Da bi bolje sakrili ranjivosti nultog dana korišćene u ovim napadima, operateri prave razliku između servera korisnog opterećenja prve i druge faze. Prvi pruža generičniji teret, dok se drugi upušta u ciljane napade na određene tipove uređaja. Ova strategija može biti dio nastojanja da se prikriju iskorišćene ranjivosti.

Raptor Train operateri koriste različite tehnike protiv forenzičke analize kako bi otežali otkrivanje i analizu. To uključuje zamagljivanje imena pokrenutih procesa, kompromitovanje uređaja kroz višestepeni lanac infekcije, uništavanje procesa daljinskog upravljanja i obezbjeđivanje da njihov korisni teret nema mehanizme postojanosti. To čini izazov za sigurnosne istraživače i agencije za sprovođenje zakona da efikasno prate aktivnosti botneta.

 

Raptor Train demontaža

U sajber bezbjednosnoj operaciji bez presedana, Federalni istražni biro (eng. Federal Bureau of Investigation – FBI) je uspješno demontirao Raptor Train botnet. FBI operacija uklanjanja uključivala je zapljenu napadačke infrastrukture da bi izdala komande za onemogućavanje zlonamjernog softvera na zaraženim uređajima. Međutim, zlonamjerni akteri pokušali su da ometaju akciju sanacije pokretanjem DDoS napada ciljajući na servere koje je FBI koristio da izvrši sudski nalog. Uprkos ovim neuspješnim naporima, FBI je uspeo da efikasno izvrši svoju operaciju.

 

“Ovaj botnet je ciljao entitete u SAD i Tajvanu u različitim sektorima, uključujući vojsku, vladu, visoko obrazovanje, telekomunikacije, odbrambenu industrijsku bazu i IT. Istraga je dala uvid u mrežnu arhitekturu botneta, eksploatacione kampanje, komponente zlonamjernog softvera i operativnu upotrebu, osvetljavajući evoluirajuće taktike i tehnike koje koriste zlonamjerni akteri. Glavna zabrinutost u vezi Raptor Train botneta je DDoS sposobnost za koju još nismo primijetili da je aktivno raspoređena, ali sumnjamo da se održava za buduću upotrebu.”

– Lumen Technologies report –

 

FBI uklanjanje Raptor Train botneta označava značajnu prekretnicu u globalnim naporima za sajber bezbjednost protiv hakovanja koje sponzoriše država. Operacija naglašava važnost međunarodne saradnje i budnosti u borbi protiv sofisticiranih prijetnji koje potencijalno mogu poremetiti kritičnu infrastrukturu i nacionalnu bezbjednost.

 

FLAX TYPHOON

Flax Typhoon je napredna trajna prijetnja (eng. Advanced persistent threat – APT) sa jakim vezama sa kineskom vladom. Grupa je još poznata i kao Ethereal Panda, RedJuliett i Storm0919. Ova grupa primarno cilja na organizacije na Tajvanu i specijalizovana je za špijunske kampanje, fokusirajući se na dobijanje trajnog pristupa mrežama uz minimalnu upotrebuzlonamjernog softvera tokom dužeg vremenskog perioda.

Način funkcionisanja Flax Typhoon APT grupe uključuje iskorišćavanje ranjivosti javnih servera i korišćenje tehnike stapanja sa okolinom (eng. Living off the Land – LotL) kako bi se neprimjetno uklopile sa ciljnim okruženjem. Koristeći alate ugrađene u operativne sisteme i legitiman softver, Flax Typhoon uspijeva da ostane neotkriven tokom dužeg perioda, što ga čini ozbiljnim protivnikom.

Jedna od njihovih preferiranih metoda je postavljanje virtuelne privatne mreže (eng. Virtual Private Network – VPN) kako bi se održala postojanost unutar ugroženih mreža. Ovo omogućava zlonamjernom akteru da se kreće bočno kroz različite sisteme i dobije pristup osvetljivim podacima bez izazivanja sumnje. Među raznim alatima i tehnikama koje Flax Typhoon APT koristi su China Chopper Web shell, Metasploit, Juicy Potato za eskalaciju privilegija, Mimikatz i SoftEther VPN klijent.

Razumijevanje taktika, tehnika i procedura koje koristi Flax Typhoon APT grupa je ključno za organizacije da zaštite svoje mreže od ovako naprednih prijetnji.

 

ZAKLJUČAK

Otkriće i istraga botnet Raptor Train bacili su svetilo na značajnu sajber prijetnju koja predstavlja brojne rizike i izazove.

Prvo, obim kompromitovanih uređaja povezanih sa Raptor Train botnetom je alarmantan. Sa preko 1,2 miliona zapisa o zaraženim uređajima samo u junu ove godine, naglašava ranjivost SOHO/IoT uređaja na sajber prijetnje. Ovi uređaji se često zanemaruju kada je riječ o bezbjednosnim mjerama zbog njihove percipirane beznačajnosti u poređenju sa kritičnijim sistemima. Međutim, kao što je pokazao botnet Raptor Train, čak i naizgled bezopasni uređaji mogu se masovno iskorišćavati u zlonamjerne svrhe.

Drugo, veza između Raptor Train botneta i hakera koje sponzoriše država kao što je Flax Typhoon izaziva zabrinutost u vezi sa sajber špijunažom i sabotažnim aktivnostima nacionalne države. Upotreba ranjivosti nultog dana u ovim napadima sugeriše da se razvijaju sofisticirani alati za ciljane kampanje protiv određenih zemalja ili industrija.

Na kraju, anti-forenzičke tehnike koje koriste Raptor Train operateri čine izazovnim otkrivanje i efikasno ublažavanje njihovih aktivnosti. Ovo naglašava potrebu za poboljšanim mjerama sajber bezbjednosti, uključujući bolju razmjenu obavještajnih podataka o prijetnjama između organizacija i vlada, kao i snažnije sposobnosti reagovanja na incidente. Kako Raptor Train nastavlja da raste u veličini i obimu, ključno je da profesionalci za sajber bezbjednost ostanu oprezni i proaktivni u identifikovanju i neutralisanju ove prijetnje kako bi zaštitili kritičnu infrastrukturu od potencijalnog kompromitovanja uređaja.

 

ZAŠTITA

Kako bi se korisnici i organizacije zaštitile od Raptor Train botnet prijetnje, mogu primjenjivati sljedeće preporuke:

  1. Redovno ažurirati softver na svim uređajimasa najnovijim softverskim ispravkama kako bi se spriječili da zlonamjerni akteri iskoriste poznate ranjivosti. Ovo uključuje rutere, modeme, IP kamere i NAS uređaje,
  2. Uvjeriti se da su lozinke za uređaje koji su obuhvaćeni ovim napadom složene i jedinstvene, što otežava zlonamjernim akterima da dobiju neovlašteni pristup. Razmisliti o korištenju menadžera lozinki da bi se lakše upravljalo višestrukim jakim lozinkama,
  3. Omogućiti autentifikaciju u dva koraka (eng. Two-Factor Authentication – 2FA) tamo gdje je moguće, jer ovo dodaje još jedan sloj bezbjednosti zahtjevajući još jedan oblik verifikacije pored lozinke,
  4. Podijeliti mrežu na manje segmente da bi se ograničilo širenje potencijalne infekcije. Ovo može pomoći u suzbijanju svih ugrožavanja i olakšati njihovo otkrivanje i reagovanje,
  5. Potrebno je pravilo konfigurisati zaštitne zidove na ruterima i drugim uređajima da bi se blokirao nepotreban dolazni saobraćaj, posebno iz nepoznatih izvora,
  6. Implementirati sisteme za otkrivanje upada (eng. Intrusion Detection Systems – IDS) i/ili sisteme za sprečavanje upada (eng. Intrusion Prevention Systems – IPS) za nadgledanje mrežnog saobraćaja u potrazi za sumnjivim aktivnostima i automatski reagovanje na potencijalne prijetnje,
  7. Redovno pregledati mrežne evidencije u potrazi za neobičnim ili sumnjivim aktivnostima, kao što su velike količine odlaznog saobraćaja ili veze sa poznatim zlonamjernim domenima,
  8. Razvijati i primjenjivati sveobuhvatnu bezbjednosnu politiku koja pokriva sve uređaje, uključujući one na perimetru mreže, kao i IoT uređaje. Ovo bi trebalo da uključuje smjernice za upravljanje lozinkama, ažuriranja softvera i prihvatljivo korišćenje resursa kompanije,
  9. Potrebno je biti informisan o novim prijetnjama kao što je Raptor Train botnet pretplatom na usluge obavještajnih podataka o prijetnjama. Ovo može pomoći da se bude ispred potencijalnih napada i da se efikasnije odgovori kada se dogode. Pored toga, sarađivati sa drugim organizacijama i grupama za razmjenu informacija kako bi se podijelili uvidi i najbolje prakse za odbranu od ovih vrsta prijetnji.

Na kraju, važno je napomenuti da je poznato da operateri botnet Raptor Train iskorištavaju i ranjivosti nultog dana i n-dana na različitim uređajima. Stoga je proaktivan pristup bezbjednosti neophodan, jer oslanjanje isključivo na ispravke nakon incidenta može učiniti mrežu ranjivom. Redovno pregledati i ažurirati svoje bezbjednosne mjere da bi se održala zaštita od prijetnji u razvoju kao što je Raptor Train.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.