Přejít k hlavnímu obsahu

Čínský botnet Raptor Train: útočilo 260 000 nakažených routerů a IP kamer

Pavel Trousil 21.09.2024
info ikonka
Zdroj: Vygenerováno v Midjourney

Výzkumníci v oblasti kybernetické bezpečnosti odhalili jeden z největších botnetů obsahující celou armádu domácích a kancelářských Wi-Fi routerů a zařízení internetu věcí, především NAS serverů a IP kamer. Botnet byl zneužit ke kybernetickým útokům po celém světě.

Kapitoly článku

V posledních letech jsme svědky stále sofistikovanějších kybernetických hrozeb, které ohrožují kritickou infrastrukturu zemí po celém světě. Jednou z nejnovějších a nejnebezpečnějších je čínský botnet nazvaný "Raptor Train".
Podle zjištění FBI a výzkumníků v oblasti kybernetické bezpečnosti infikoval více než 260 000 síťových zařízení a tento rozsáhlý a komplexní botnet představuje významnou hrozbu pro kritickou infrastrukturu nejen v USA, ale i v dalších zemích.

Vznik a vývoj Raptor Train

Raptor Train se poprvé objevil v květnu 2020, ale dlouho zůstával nepozorován. Teprve v loňském roce byl objeven výzkumníky z Black Lotus Labs, výzkumného oddělení společnosti Lumen Technologies, během vyšetřování kompromitovaných routerů. 
Za čtyři roky své existence se Raptor Train vyvinul v sofistikovanou, víceúrovňovou síť s pokročilým řídicím systémem schopným spravovat desítky serverů a obrovské množství infikovaných zařízení.
 

Mohlo by vás zajímat

Rozsah infekce a cílové sektory

Podle zprávy FBI botnet Raptor Train infikoval více než 260 000 zařízení. Mezi infikovaná zařízení patří především:

  • Routery a modemy pro malé kanceláře a domácnosti (ActionTec, TP-LINK, Tenda Wireless, Zyxel, Mikrotik)
  • Síťové videorekordéry (NVR) a digitální videorekordéry (DVR)
  • IP kamery (D-LINK, AXIS, Panasonic) 
  • Síťová úložiště (NAS)
     

Zaměření botnetu


Botnet se zaměřoval na entity v mnoha sektorech, jako je vojenství, vládní úřady, vysoké školy, telekomunikace, obranný průmysl a IT sektor. Hlavními cíli byly organizace v USA a na Tchaj-wanu, ale útoky měly globální dosah, včetně cílů v Kazachstánu.

Raptor Train byl strukturován do tří úrovní, z nichž každá měla specifické funkce:

Úroveň 1: Infikovaná koncová zařízení

  • Zahrnuje desítky tisíc aktivních zařízení během kampaní
  • Zařízení jsou infikována využitím více než 20 různých typů zranitelností, včetně 0-day a známých (n-day) zranitelností
  • Hlavní payload je varianta malwaru Mirai nazvaná Nosedive, určená pro DDoS útoky
  • Zařízení zůstávají v botnetu průměrně 17 dní

Úroveň 2: Řídící a kontrolní infrastruktura

  • Zahrnuje servery pro řízení a kontrolu (C2), exploitaci a distribuci payloadu
  • Rozlišuje se mezi servery pro první a druhou fázi útoku
  • Počet C2 serverů se v průběhu času zvýšil z 5 (2020-2022) na více než 60 (červen-srpen 2024)

Úroveň 3: Správa botnetu

  • Tzv. "Sparrow nodes" pro manuální řízení celého botnetu
  • Komunikace přes SSH nebo TLS
  • Webové rozhraní (JavaScript frontend) pro snadnější ovládání
  • Funkce pro generování payloadů a exploitů
     

Mohlo by vás zajímat

Významné kampaně Raptor Train

Black Lotus Labs od roku 2020 sledoval čtyři hlavní kampaně Raptor Trainu. V kampani Canary (od května 2023) se útočníci zaměřili na konkrétní typy zařízení: ActionTec PK5000 modemy, Hikvision IP kamery, Shenzhen TVT NVR a ASUS RT- a GT- routery. Jeden server druhé úrovně infikoval nejméně 16 000 zařízení za dva měsíce. 

V kampani Oriole (červen 2023 - září 2024) bylo infikováno nejméně 30 000 zařízení. Cíle zahrnovaly americkou armádu, vládní instituce, IT poskytovatele a obranný průmysl. Proběhl také útok na vládní agenturu v Kazachstánu.

Výzkumníci z Black Lotus Labs s vysokou mírou jistoty spojují Raptor Train s čínskou státem sponzorovanou hackerskou skupinou Flax Typhoon. Toto spojení je podpořeno několika faktory:

  • Výběr cílů odpovídá čínským zájmům
  • Jazyk použitý v kódové základně a infrastruktuře je čínština
  • Překrývání taktik, technik a postupů s známými čínskými hackersskými skupinami
  • Aktivita správců botnetu odpovídá běžné pracovní době v Číně
     

Mohlo by vás zajímat

Reakce a protiopatření

V reakci na tuto hrozbu podnikly bezpečnostní agentury a výzkumníci několik kroků. FBI provedla soudně schválené operace k převzetí kontroly nad infrastrukturou botnetu. Byly také vydány příkazy k odstranění malwaru z infikovaných zařízení. Black Lotus Labs aktivně blokuje provoz na známou infrastrukturu botnetu pomocí tzv. null-routingu.

Tyto akce vedly k částečnému narušení fungování botnetu Raptor Train. Flax Typhoon se v reakci na to pokusil migrovat infikovaná zařízení na nové servery a dokonce provedl DDoS útok proti FBI.

I přes sofistikovanost Raptor Train existují kroky, které mohou uživatelé a správci sítí podniknout pro ochranu:

  • Pravidelné restartování routerů a instalace nejnovějších aktualizací od výrobce.
  • Výměna zařízení, která již nejsou podporována a nedostávají aktualizace (end-of-life systémy).
  • Kontrola velkých odchozích datových přenosů správci sítí, i když cílová IP adresa pochází ze stejné oblasti.
  • Implementace vícevrstvé bezpečnostní strategie zahrnující firewally, systémy detekce a prevence průniku (IDS/IPS) a pravidelné bezpečnostní audity.
  • Školení zaměstnanců v oblasti kybernetické bezpečnosti a rozpoznávání phishingových útoků.
  • Pravidelné zálohování dat a testování obnovy systémů pro případ úspěšného útoku.

Případ botnetu Raptor Train ilustruje rostoucí sofistikovanost a rozsah státem sponzorovaných kybernetických hrozeb. Schopnost infikovat stovky tisíc zařízení a zaměřit se na kritickou infrastrukturu představuje významné riziko pro národní bezpečnost mnoha zemí. 

Tento incident zdůrazňuje důležitost mezinárodní spolupráce v boji proti kybernetickým hrozbám a potřebu neustálého zlepšování kybernetické obrany jak na úrovni organizací, tak jednotlivých uživatelů. Zároveň upozorňuje na rizika spojená s rostoucím počtem připojených IoT zařízení a nutnost věnovat zvýšenou pozornost jejich zabezpečení.
Zdroj: Lumen, Hacker news, Bleeding Computers


Máte k článku připomínku? Napište nám

Sdílet článek

Mohlo by se vám líbit








Všechny nejnovější zprávy

doporučujeme