V posledních letech jsme svědky stále sofistikovanějších kybernetických hrozeb, které ohrožují kritickou infrastrukturu zemí po celém světě. Jednou z nejnovějších a nejnebezpečnějších je čínský botnet nazvaný "Raptor Train".
Podle zjištění FBI a výzkumníků v oblasti kybernetické bezpečnosti infikoval více než 260 000 síťových zařízení a tento rozsáhlý a komplexní botnet představuje významnou hrozbu pro kritickou infrastrukturu nejen v USA, ale i v dalších zemích.
Vznik a vývoj Raptor Train
Raptor Train se poprvé objevil v květnu 2020, ale dlouho zůstával nepozorován. Teprve v loňském roce byl objeven výzkumníky z Black Lotus Labs, výzkumného oddělení společnosti Lumen Technologies, během vyšetřování kompromitovaných routerů.
Za čtyři roky své existence se Raptor Train vyvinul v sofistikovanou, víceúrovňovou síť s pokročilým řídicím systémem schopným spravovat desítky serverů a obrovské množství infikovaných zařízení.
Rozsah infekce a cílové sektory
Podle zprávy FBI botnet Raptor Train infikoval více než 260 000 zařízení. Mezi infikovaná zařízení patří především:
- Routery a modemy pro malé kanceláře a domácnosti (ActionTec, TP-LINK, Tenda Wireless, Zyxel, Mikrotik)
- Síťové videorekordéry (NVR) a digitální videorekordéry (DVR)
- IP kamery (D-LINK, AXIS, Panasonic)
- Síťová úložiště (NAS)
Zaměření botnetu
Botnet se zaměřoval na entity v mnoha sektorech, jako je vojenství, vládní úřady, vysoké školy, telekomunikace, obranný průmysl a IT sektor. Hlavními cíli byly organizace v USA a na Tchaj-wanu, ale útoky měly globální dosah, včetně cílů v Kazachstánu.
Raptor Train byl strukturován do tří úrovní, z nichž každá měla specifické funkce:
Úroveň 1: Infikovaná koncová zařízení
- Zahrnuje desítky tisíc aktivních zařízení během kampaní
- Zařízení jsou infikována využitím více než 20 různých typů zranitelností, včetně 0-day a známých (n-day) zranitelností
- Hlavní payload je varianta malwaru Mirai nazvaná Nosedive, určená pro DDoS útoky
- Zařízení zůstávají v botnetu průměrně 17 dní
Úroveň 2: Řídící a kontrolní infrastruktura
- Zahrnuje servery pro řízení a kontrolu (C2), exploitaci a distribuci payloadu
- Rozlišuje se mezi servery pro první a druhou fázi útoku
- Počet C2 serverů se v průběhu času zvýšil z 5 (2020-2022) na více než 60 (červen-srpen 2024)
Úroveň 3: Správa botnetu
- Tzv. "Sparrow nodes" pro manuální řízení celého botnetu
- Komunikace přes SSH nebo TLS
- Webové rozhraní (JavaScript frontend) pro snadnější ovládání
- Funkce pro generování payloadů a exploitů
Mohlo by vás zajímat
Významné kampaně Raptor Train
Black Lotus Labs od roku 2020 sledoval čtyři hlavní kampaně Raptor Trainu. V kampani Canary (od května 2023) se útočníci zaměřili na konkrétní typy zařízení: ActionTec PK5000 modemy, Hikvision IP kamery, Shenzhen TVT NVR a ASUS RT- a GT- routery. Jeden server druhé úrovně infikoval nejméně 16 000 zařízení za dva měsíce.
V kampani Oriole (červen 2023 - září 2024) bylo infikováno nejméně 30 000 zařízení. Cíle zahrnovaly americkou armádu, vládní instituce, IT poskytovatele a obranný průmysl. Proběhl také útok na vládní agenturu v Kazachstánu.
Výzkumníci z Black Lotus Labs s vysokou mírou jistoty spojují Raptor Train s čínskou státem sponzorovanou hackerskou skupinou Flax Typhoon. Toto spojení je podpořeno několika faktory:
- Výběr cílů odpovídá čínským zájmům
- Jazyk použitý v kódové základně a infrastruktuře je čínština
- Překrývání taktik, technik a postupů s známými čínskými hackersskými skupinami
- Aktivita správců botnetu odpovídá běžné pracovní době v Číně
Mohlo by vás zajímat
Reakce a protiopatření
V reakci na tuto hrozbu podnikly bezpečnostní agentury a výzkumníci několik kroků. FBI provedla soudně schválené operace k převzetí kontroly nad infrastrukturou botnetu. Byly také vydány příkazy k odstranění malwaru z infikovaných zařízení. Black Lotus Labs aktivně blokuje provoz na známou infrastrukturu botnetu pomocí tzv. null-routingu.
Tyto akce vedly k částečnému narušení fungování botnetu Raptor Train. Flax Typhoon se v reakci na to pokusil migrovat infikovaná zařízení na nové servery a dokonce provedl DDoS útok proti FBI.
I přes sofistikovanost Raptor Train existují kroky, které mohou uživatelé a správci sítí podniknout pro ochranu:
- Pravidelné restartování routerů a instalace nejnovějších aktualizací od výrobce.
- Výměna zařízení, která již nejsou podporována a nedostávají aktualizace (end-of-life systémy).
- Kontrola velkých odchozích datových přenosů správci sítí, i když cílová IP adresa pochází ze stejné oblasti.
- Implementace vícevrstvé bezpečnostní strategie zahrnující firewally, systémy detekce a prevence průniku (IDS/IPS) a pravidelné bezpečnostní audity.
- Školení zaměstnanců v oblasti kybernetické bezpečnosti a rozpoznávání phishingových útoků.
- Pravidelné zálohování dat a testování obnovy systémů pro případ úspěšného útoku.
Případ botnetu Raptor Train ilustruje rostoucí sofistikovanost a rozsah státem sponzorovaných kybernetických hrozeb. Schopnost infikovat stovky tisíc zařízení a zaměřit se na kritickou infrastrukturu představuje významné riziko pro národní bezpečnost mnoha zemí.
Tento incident zdůrazňuje důležitost mezinárodní spolupráce v boji proti kybernetickým hrozbám a potřebu neustálého zlepšování kybernetické obrany jak na úrovni organizací, tak jednotlivých uživatelů. Zároveň upozorňuje na rizika spojená s rostoucím počtem připojených IoT zařízení a nutnost věnovat zvýšenou pozornost jejich zabezpečení.
Zdroj: Lumen, Hacker news, Bleeding Computers