Investigadores de ciberseguridad han descubierto una botnet nunca antes vista que consiste en un ejército de pequeñas oficinas/oficinas domésticas (SOHO) y dispositivos IoT que probablemente son operados por un actor de amenazas estatal chino llamado Flax Typhoon (también conocido como Ethereal Panda o RedJuliett).
La sofisticada botnet, apodada El tren de las rapaces Según se informa, el sistema, desarrollado por Black Lotus Labs de Lumen, ha estado operativo desde al menos mayo de 2020, alcanzando un pico de 60.000 dispositivos activamente comprometidos en junio de 2023.
«Desde entonces, más de 200.000 enrutadores SOHO, dispositivos NVR/DVR, servidores de almacenamiento conectado a la red (NAS) y cámaras IP se han integrado en la botnet Raptor Train, convirtiéndola en una de las botnets de IoT más grandes patrocinadas por el gobierno» estatal chino. descubierto hasta la fecha”, dijo la empresa de ciberseguridad. dicho en un informe de 81 páginas compartido con The Hacker News.
Se estima que la infraestructura que impulsa la botnet ha atrapado cientos de miles de dispositivos desde su inicio, y la red funciona con una arquitectura de tres niveles que consta de lo siguiente:
- Nivel 1: dispositivos SOHO/IoT comprometidos
- Nivel 2: servidores de operaciones, servidores de carga útil y servidores de comando y control (C2)
- Nivel 3: nodos de gestión centralizados y una interfaz de aplicación Electron multiplataforma llamada Sparrow (también conocida como herramienta de control integral de nodos o NCCT)
El funcionamiento es el siguiente: las tareas de los bots se inician desde los nodos de administración «Sparrow» de nivel 3, que luego se enrutan a través de los servidores C2 de nivel 2 apropiados y luego se envían a los propios bots de nivel 1, que constituyen una gran parte de la botnet.
Algunos de los dispositivos objetivo incluyen enrutadores, cámaras IP, DVR y NAS de varios fabricantes, como ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP. -ENLACE y Zyxel.
La mayoría de los nodos de Nivel 1 estaban geolocalizados en Estados Unidos, Taiwán, Vietnam, Brasil, Hong Kong y Turquía. Cada uno de estos nodos tiene una vida útil promedio de 17,44 días, lo que indica la capacidad del actor de la amenaza para reinfectar dispositivos a voluntad.
«En la mayoría de los casos, los operadores no han implementado un mecanismo de persistencia que sobreviva después de un reinicio», señaló Lumen.
“La confianza en la reexplotación proviene de la combinación de una amplia gama de exploits disponibles para una amplia gama de dispositivos SOHO e IoT vulnerables y una gran cantidad de dispositivos vulnerables en Internet, lo que le da a Raptor Train una persistencia algo “inherente”.
Los nodos son infectados por un implante en la memoria identificado como Nosedive, una variante personalizada de la botnet Mirai, a través de servidores de carga útil de Nivel 2 configurados explícitamente para este propósito. El binario ELF viene con capacidades para ejecutar comandos, descargar y cargar archivos y lanzar ataques DDoS.
Los nodos de nivel 2, por otro lado, se actualizan aproximadamente cada 75 días y están ubicados principalmente en Estados Unidos, Singapur, Reino Unido, Japón y Corea del Sur. El número de nodos C2 aumentó de aproximadamente 1 a 5 entre 2020 y 2022 hasta 60 entre junio de 2024 y agosto de 2024.
Estos nodos son flexibles porque también actúan como servidores de explotación para incorporar nuevos dispositivos a la botnet, servidores de carga útil e incluso facilitar el reconocimiento de entidades objetivo.
Al menos cuatro campañas diferentes se han vinculado a la botnet Raptor Train en constante evolución desde mediados de 2020, cada una de las cuales se distingue por los dominios raíz utilizados y los dispositivos a los que se dirige:
- Red Crossbill (mayo de 2020 a abril de 2022): uso del dominio raíz C2 k3121.com y subdominios asociados
- Finch (julio de 2022 a junio de 2023): uso del dominio raíz C2 b2047.com y subdominios C2 asociados
- Canary (mayo de 2023 a agosto de 2023): utiliza el dominio raíz C2 b2047.com y los subdominios C2 asociados, mientras depende de cuentagotas de varios pasos
- Oriole (junio de 2023 a septiembre de 2024): uso del dominio raíz C2 w8510.com y subdominios C2 asociados
La campaña de Canary, que se centró principalmente en los módems ActionTec PK5000, las cámaras IP de Hikvision, los NVR TVT de Shenzhen y los enrutadores ASUS, se destaca por utilizar su propia cadena de infección de múltiples capas para descargar un script bash de primera etapa, que se conecta a una carga útil de Nivel 2. servidor para recuperar Nosedive y un script bash de segunda etapa.
El nuevo script bash, a su vez, intenta descargar y ejecutar un script bash de tercera etapa desde el servidor de carga útil cada 60 minutos.
«De hecho, el dominio C2 w8510.com para [the Oriole] «La campaña se volvió tan prominente entre los dispositivos IoT comprometidos que, a partir del 3 de junio de 2024, se incluyó en la clasificación de dominios de Cisco Umbrella», dijo Lumen.
“Al menos al 7 de agosto de 2024, también estaba entre el millón de dominios principales de Cloudflare Radar. Esta es una hazaña preocupante porque los dominios que aparecen en estas listas de popularidad a menudo pasan por alto las herramientas de seguridad a través de la lista blanca de dominios, lo que les permite expandir y mantener el acceso y evitar aún más la detección. »
Hasta la fecha no se han detectado ataques DDoS provenientes de la botnet, aunque la evidencia muestra que se ha utilizado como arma para atacar a entidades estadounidenses y taiwanesas en los sectores militar, gubernamental, de educación superior, de telecomunicaciones y de la base industrial de defensa (DIB). y tecnología de la información (TI).
Además, los bots involucrados en Raptor Train probablemente realizaron posibles intentos de explotación contra servidores Atlassian Confluence y dispositivos Ivanti Connect Secure (ICS) en las mismas verticales, lo que sugiere esfuerzos de escaneo generalizados.
Los vínculos con Flax Typhoon –un equipo de hackers con un historial de atacar entidades en Taiwán, el sudeste asiático, América del Norte y África– surgen de huellas superpuestas de victimología, uso del idioma chino y otras similitudes tácticas.
«Este es un sistema de control robusto de nivel empresarial que se utiliza para administrar más de 60 servidores C2 y sus nodos infectados en un momento dado», dijo Lumen.
“Este servicio permite un conjunto completo de actividades, que incluyen explotación escalable de bots, administración de vulnerabilidades y exploits, administración remota de la infraestructura C2, descargas y cargas de archivos, ejecución de comandos de forma remota y la capacidad de personalizar ataques de denegación de servicio distribuido (DDoS) basados en IoT. a escala. »