Čínský botnet Raptor Train: útočilo 260 000 nakažených routerů a IP kamer

V posledních letech jsme svědky stále sofistikovanějších kybernetických hrozeb, které ohrožují kritickou infrastrukturu zemí po celém světě. Jednou z nejnovějších a nejnebezpečnějších je čínský botnet nazvaný "Raptor Train".
Podle zjištění FBI a výzkumníků v oblasti kybernetické bezpečnosti infikoval více než 260 000 síťových zařízení a tento rozsáhlý a komplexní botnet představuje významnou hrozbu pro kritickou infrastrukturu nejen v USA, ale i v dalších zemích.

Vznik a vývoj Raptor Train

Raptor Train se poprvé objevil v květnu 2020, ale dlouho zůstával nepozorován. Teprve v loňském roce byl objeven výzkumníky z Black Lotus Labs, výzkumného oddělení společnosti Lumen Technologies, během vyšetřování kompromitovaných routerů. 
Za čtyři roky své existence se Raptor Train vyvinul v sofistikovanou, víceúrovňovou síť s pokročilým řídicím systémem schopným spravovat desítky serverů a obrovské množství infikovaných zařízení.
 

Rozsah infekce a cílové sektory

Podle zprávy FBI botnet Raptor Train infikoval více než 260 000 zařízení. Mezi infikovaná zařízení patří především:

• Routery a modemy pro malé kanceláře a domácnosti (ActionTec, TP-LINK, Tenda Wireless, Zyxel, Mikrotik)
• Síťové videorekordéry (NVR) a digitální videorekordéry (DVR)
• IP kamery (D-LINK, AXIS, Panasonic) 
• Síťová úložiště (NAS)
   

Zaměření botnetu

Botnet se zaměřoval na entity v mnoha sektorech, jako je vojenství, vládní úřady, vysoké školy, telekomunikace, obranný průmysl a IT sektor. Hlavními cíli byly organizace v USA a na Tchaj-wanu, ale útoky měly globální dosah, včetně cílů v Kazachstánu.

Raptor Train byl strukturován do tří úrovní, z nichž každá měla specifické funkce:

Úroveň 1: Infikovaná koncová zařízení

• Zahrnuje desítky tisíc aktivních zařízení během kampaní
• Zařízení jsou infikována využitím více než 20 různých typů zranitelností, včetně 0-day a známých (n-day) zranitelností
• Hlavní payload je varianta malwaru Mirai nazvaná Nosedive, určená pro DDoS útoky
• Zařízení zůstávají v botnetu průměrně 17 dní

Úroveň 2: Řídící a kontrolní infrastruktura

• Zahrnuje servery pro řízení a kontrolu (C2), exploitaci a distribuci payloadu
• Rozlišuje se mezi servery pro první a druhou fázi útoku
• Počet C2 serverů se v průběhu času zvýšil z 5 (2020-2022) na více než 60 (červen-srpen 2024)

Úroveň 3: Správa botnetu

• Tzv. "Sparrow nodes" pro manuální řízení celého botnetu
• Komunikace přes SSH nebo TLS
• Webové rozhraní (JavaScript frontend) pro snadnější ovládání
• Funkce pro generování payloadů a exploitů
   

Významné kampaně Raptor Train

Black Lotus Labs od roku 2020 sledoval čtyři hlavní kampaně Raptor Trainu. V kampani Canary (od května 2023) se útočníci zaměřili na konkrétní typy zařízení: ActionTec PK5000 modemy, Hikvision IP kamery, Shenzhen TVT NVR a ASUS RT- a GT- routery. Jeden server druhé úrovně infikoval nejméně 16 000 zařízení za dva měsíce. 

V kampani Oriole (červen 2023 - září 2024) bylo infikováno nejméně 30 000 zařízení. Cíle zahrnovaly americkou armádu, vládní instituce, IT poskytovatele a obranný průmysl. Proběhl také útok na vládní agenturu v Kazachstánu.

Výzkumníci z Black Lotus Labs s vysokou mírou jistoty spojují Raptor Train s čínskou státem sponzorovanou hackerskou skupinou Flax Typhoon. Toto spojení je podpořeno několika faktory:

• Výběr cílů odpovídá čínským zájmům
• Jazyk použitý v kódové základně a infrastruktuře je čínština
• Překrývání taktik, technik a postupů s známými čínskými hackersskými skupinami
• Aktivita správců botnetu odpovídá běžné pracovní době v Číně
   

Reakce a protiopatření

V reakci na tuto hrozbu podnikly bezpečnostní agentury a výzkumníci několik kroků. FBI provedla soudně schválené operace k převzetí kontroly nad infrastrukturou botnetu. Byly také vydány příkazy k odstranění malwaru z infikovaných zařízení. Black Lotus Labs aktivně blokuje provoz na známou infrastrukturu botnetu pomocí tzv. null-routingu.

Tyto akce vedly k částečnému narušení fungování botnetu Raptor Train. Flax Typhoon se v reakci na to pokusil migrovat infikovaná zařízení na nové servery a dokonce provedl DDoS útok proti FBI.

I přes sofistikovanost Raptor Train existují kroky, které mohou uživatelé a správci sítí podniknout pro ochranu:

• Pravidelné restartování routerů a instalace nejnovějších aktualizací od výrobce.
• Výměna zařízení, která již nejsou podporována a nedostávají aktualizace (end-of-life systémy).
• Kontrola velkých odchozích datových přenosů správci sítí, i když cílová IP adresa pochází ze stejné oblasti.
• Implementace vícevrstvé bezpečnostní strategie zahrnující firewally, systémy detekce a prevence průniku (IDS/IPS) a pravidelné bezpečnostní audity.
• Školení zaměstnanců v oblasti kybernetické bezpečnosti a rozpoznávání phishingových útoků.
• Pravidelné zálohování dat a testování obnovy systémů pro případ úspěšného útoku.

Případ botnetu Raptor Train ilustruje rostoucí sofistikovanost a rozsah státem sponzorovaných kybernetických hrozeb. Schopnost infikovat stovky tisíc zařízení a zaměřit se na kritickou infrastrukturu představuje významné riziko pro národní bezpečnost mnoha zemí. 

Tento incident zdůrazňuje důležitost mezinárodní spolupráce v boji proti kybernetickým hrozbám a potřebu neustálého zlepšování kybernetické obrany jak na úrovni organizací, tak jednotlivých uživatelů. Zároveň upozorňuje na rizika spojená s rostoucím počtem připojených IoT zařízení a nutnost věnovat zvýšenou pozornost jejich zabezpečení.
Zdroj: Lumen, Hacker news, Bleeding Computers