Исследователи в сфере кибербезопасности выявили новый ботнет, состоящий из огромного количества устройств для малых офисов/домашних офисов (SOHO) и Интернета вещей (IoT). Управление этой сетью, вероятно, осуществляет китайская хакерская группа Flax Typhoon, известная также как Ethereal Panda или RedJuliett.
По данным компании Black Lotus Labs, ботнет, получивший название Raptor Train, действует с мая 2020 года. К июню 2023 года количество скомпрометированных устройств достигло 60 000. В дальнейшем в сеть были включены более 200 000 маршрутизаторов SOHO, камер видеонаблюдения и сетевых хранилищ (NAS), что делает Raptor Train одним из крупнейших известных ботнетов, связанных с китайским государством.
Отчет компании содержит описание трехуровневой структуры сети. Первый уровень включает взломанные устройства SOHO и IoT, второй — эксплуатационные серверы, серверы полезной нагрузки и серверы управления (C2), третий — централизованные узлы, использующие кроссплатформенное приложение Sparrow для управления ботами.
Скомпрометированные устройства включают маршрутизаторы, IP-камеры и сетевые видеорегистраторы от таких производителей, как ASUS, Hikvision, TP-LINK, Synology и других. Большинство зараженных устройств находятся в США, Тайване, Вьетнаме и других странах, а средний срок работы каждого узла составляет около 17 дней, что указывает на способность злоумышленников повторно инфицировать устройства.
Инфраструктура ботнета демонстрирует способность к «восстановлению» за счет огромного количества эксплойтов для уязвимых устройств. Устройства заражаются с помощью импланта Nosedive — варианта ботнета Mirai, который через серверы второго уровня может выполнять команды, загружать и скачивать файлы, а также проводить DDoS-атаки.
С 2020 года ботнет участвовал в нескольких кампаниях, каждая из которых использовала различные домены и целевые устройства. Например, кампания Canary 2023 года атаковала модемы ActionTec и камеры Hikvision через многоуровневую цепочку заражений, а кампания Oriole, продолжающаяся до сентября 2024 года, сделала домен C2 настолько заметным, что его включили в рейтинги крупных провайдеров, таких как Cisco и Cloudflare.
Хотя нет подтверждений о DDoS-атаках, исходящих от Raptor Train, известно, что ботнет был использован для атак на организации в США и Тайване, в том числе в оборонной и ИТ-сферах. Также зафиксированы попытки эксплуатации уязвимостей на серверах Atlassian Confluence и устройствах Ivanti Connect Secure.
Связь с группировкой Flax Typhoon подтверждается использованием китайского языка и аналогичными тактическими приемами. Министерство юстиции США сообщило о ликвидации ботнета в рамках судебной операции, направленной на отключение вредоносного ПО на зараженных устройствах.
История использования ботнетов
В 2023 году активность ботнетов выросла на 25 % по сравнению с предыдущим годом, причем особенно выросли такие угрозы, как ботнет Torpig Mebroot, на долю которого пришлось 56 % обнаружений. Другие бот-сети, такие как TorrentLocker, также выросли в 4 квартале 2023 года.
Геополитические угрозы и угрозы критической инфраструктуре также стали причиной роста этой угрозы. Ботнеты все чаще используются для атак на критически важную инфраструктуру, причем основное внимание уделяется таким отраслям, как оборона, правительство и телекоммуникации. В США наблюдается значительный рост угроз, связанных с ботнетами, включая атаки, связанные с китайскими государственными структурами.
В 2023 году на США приходилось 43,1 % мирового трафика плохих ботов. Среди других стран со значительным трафиком ботнетов - Австралия (6,8 %) и Великобритания (6,7 %). По состоянию на 2022 год почти 50 % всех C&C-центров ботнетов находились в США, за ними следовали Нидерланды (9,17 %) и Германия (8,69 %).
Другие новости по теме:
В сеть попали данные почти 2,5 миллионов пользователей IoT-устройств