Pesquisadores de segurança cibernética descobriram uma botnet sem precedentes que inclui um exército de pequenos escritórios/escritórios domésticos (SOHO) e dispositivos IoT que podem ser usados por um ator de ameaça chinês chamado Flax Typhoon (também conhecido como Ethereal Panda ou RedJuliett).
Um botnet sofisticado, chamado Trem Raptor do Black Lotus Labs da Lumen, acredita-se que esteja ativo desde pelo menos maio de 2020, atingindo um pico de 60.000 dispositivos comprometidos em junho de 2023.
“Desde então, existem mais de 200.000 roteadores SOHO, dispositivos NVR/DVR, servidores de armazenamento conectado à rede (NAS) e câmeras IP; todos registrados na botnet Raptor Train, tornando-a uma das maiores IoT patrocinadas pelo estado da China. botnets detectados até agora”, disse a empresa de segurança cibernética em um relatório de 81 páginas compartilhado com o The Hacker News.
Estima-se que a infraestrutura que alimenta a botnet tenha mantido centenas de milhares de dispositivos desde a sua criação, com a rede alimentada por uma arquitetura de três camadas que inclui o seguinte:
- Fase 1: Dispositivos SOHO/IoT não estão comprometidos
- Camada 2: servidores de exploração, servidores de carga útil e servidores de comando e controle (C2)
- Fase 3: Nós de gerenciamento intermediário e o ponto final do aplicativo multiplataforma da Electron chamado Sparrow (Node Comprehensive Control Tool, ou NCCT)
A maneira como funciona é que as operações dos bots são iniciadas nas áreas de administração “Sparrow” de nível 3, que são então transferidas para os servidores C2 de nível 2 apropriados e, posteriormente, enviadas para os próprios bots no nível 1, que constituem a maior parte do a botnet.
Outros dispositivos direcionados incluem roteadores, câmeras IP, DVRs e NAS de vários fabricantes, como ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP- LIGAÇÃO e Zyxel.
A maioria dos nós de Nível 1 foram implantados nos EUA, Taiwan, Vietnã, Brasil, Hong Kong e Turquia. Cada um desses sites tem uma vida útil média de 17,44 dias, indicando a capacidade de um agente de ameaça reinstalar dispositivos à vontade.
“Em muitos casos, as operadoras não construíram um mecanismo de persistência que sobreviva às reinicializações”, observou Lumen.
“A confiança na capacidade de reutilização vem da combinação de uma ampla gama de funções disponíveis para uma ampla variedade de dispositivos SOHO e IoT vulneráveis e um grande número de dispositivos vulneráveis na Internet, o que dá ao Raptor Train uma persistência um tanto ‘natural’.”
Os nós são submetidos a infiltrações seguidas pelo Nosedive, uma variante personalizada do botnet Mirai, com servidores de pagamento de nível 2 especificamente designados para esse fim. O binário ELF vem com a capacidade de executar comandos, fazer upload e download de arquivos e montar ataques DDoS.
Os nós de nível 2, por outro lado, são alternados aproximadamente a cada 75 dias e estão baseados nos EUA, Cingapura, Reino Unido, Japão e Coreia do Sul. O número de nós C2 aumentou de cerca de 1-5 entre 2020 e 2022 para nada menos que 60 entre junho de 2024 e agosto de 2024.
Esses nós são flexíveis porque também atuam como servidores de exploração para integrar novos dispositivos à botnet, servidores de carga útil e facilitar a recuperação de organizações-alvo.
Pelo menos quatro campanhas diferentes foram vinculadas à botnet em constante evolução Raptor Train desde meados de 2020, cada uma das quais se distingue pelos domínios raiz que usa e pelos dispositivos que visa –
- Crossbill (de maio de 2020 a abril de 2022) – uso do domínio raiz C2 k3121.com e subdomínios associados
- Finch (de julho de 2022 a junho de 2023) – uso do domínio raiz C2 b2047.com e subdomínios C2 associados
- Canário (de maio de 2023 a agosto de 2023) – uso do domínio raiz C2 b2047.com e subdomínios C2 associados, contando com extratores multicamadas
- Oriole (de junho de 2023 a setembro de 2024) – uso do domínio raiz C2 w8510.com e subdomínios C2 associados
A campanha Canary, que tinha como alvo principalmente modems ActionTec PK5000, câmeras IP Hikvision, NVRs Shenzhen TVT e roteadores ASUS, é notável por usar sua rede de infecção em várias camadas para baixar um script bash de primeiro estágio, que se conecta ao Tier. 2 para recuperar o Nosedive e o script bash da segunda fase.
Um novo script bash, por sua vez, tenta baixar e executar um script bash de terceiros de um servidor de upload pago a cada 60 minutos.
“Na verdade, o domínio de w8510.com C2 se [the Oriole] A campanha é tão proeminente entre os dispositivos IoT vulneráveis que, em 3 de junho de 2024, foi incluída nas classificações de domínio da Cisco Umbrella”, disse Lumen.
“Pelo menos em 7 de agosto de 2024, ele também foi incluído no 1 milhão de domínios principais do Cloudflare Radar. Isso é preocupante porque os domínios nesta lista popular geralmente ignoram as ferramentas de segurança com autorização de domínio, o que lhes permite aumentar e manter o acesso de uma vez por todas. evitar a detecção.”
Nenhum ataque DDoS da botnet foi detectado até o momento, embora as evidências indiquem que ela se destina a atingir organizações dos EUA e de Taiwan nos setores militar, governamental, de ensino superior, de telecomunicações, de base industrial de defesa (DIB) e de tecnologia da informação (TI).
Além disso, os bots presos no Raptor Train provavelmente fizeram tentativas de exploração contra servidores Atlassian Confluence e dispositivos Ivanti Connect Secure (ICS) na mesma configuração, sugerindo tentativas generalizadas de varredura.
Links para Flax Typhoon – uma equipe de hackers com histórico de atacar organizações em Taiwan, Sudeste Asiático, América do Norte e África – resultam de pegadas de vitimologia sobrepostas, uso da língua chinesa e outras semelhanças táticas.
“Este é um sistema robusto de nível empresarial usado para gerenciar mais de 60 servidores C2 e seus nós infectados a qualquer momento”, disse Lumen.
“Este serviço permite todas as funções, incluindo exploração inofensiva de bots, gerenciamento de vulnerabilidades e explorações, gerenciamento remoto de infraestrutura C2, uploads e downloads de arquivos, execução remota de comandos e a capacidade de integrar negação de serviço distribuída (DDoS) baseada em IoT.) ataques em escala.”
