Pesquisadores de cibersegurança descobriram uma botnet nunca antes vista, composta por uma legião de dispositivos de pequenos escritórios/residências (SOHO) e dispositivos IoT, provavelmente operada por um ator de ameaça de estado-nação chinês conhecido como Flax Typhoon (também conhecido como Ethereal Panda ou RedJuliett).
A sofisticada botnet, apelidada de Raptor Train pelos Laboratórios Black Lotus da Lumen, acredita-se estar em operação desde pelo menos maio de 2020, atingindo um pico de 60.000 dispositivos comprometidos ativamente em junho de 2023.
"Desde então, mais de 200.000 roteadores SOHO, dispositivos NVR/DVR, servidores de armazenamento conectados em rede (NAS) e câmeras IP; todos recrutados para a botnet Raptor Train, tornando-a uma das maiores botnets patrocinadas pelo estado chinês IoT descobertas até hoje", disse a empresa de cibersegurança em um relatório de 81 páginas.
A infraestrutura que alimenta a botnet estima-se ter aprisionado centenas de milhares de dispositivos desde sua formação, com a rede impulsionada por uma arquitetura de três camadas consistindo no seguinte -
Camada 1: Dispositivos SOHO/IoT comprometidos
Camada 2: Servidores de exploração, servidores de payload e servidores de comando e controle (C2)
Camada 3: Nós de gerenciamento centralizados e um front-end de aplicativo Electron multiplataforma referido como Sparrow (também conhecido como Ferramenta de Controle Abrangente de Nó, ou NCCT)
O funcionamento é o seguinte: as tarefas do bot são iniciadas a partir dos nós de gerenciamento "Sparrow" da Camada 3, que são então encaminhadas através dos apropriados servidores C2 da Camada 2, e subsequentemente enviadas para os próprios bots na Camada 1, que compõem uma grande parte da botnet.
Alguns dos dispositivos visados incluem roteadores, câmeras IP, DVRs e NAS de vários fabricantes como ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK e Zyxel.
A maioria dos nós da Camada 1 foi geolocalizada nos EUA, Taiwan, Vietnã, Brasil, Hong Kong e Turquia.
Cada um desses nós tem uma vida útil média de 17.44 dias, indicando a capacidade do ator de ameaça de reinfectar os dispositivos à vontade.
"Na maioria dos casos, os operadores não criaram um mecanismo de persistência que sobrevive a um reboot", observou a Lumen.
A confiança na re-explorabilidade vem da combinação de um vasto leque de exploits disponíveis para uma ampla gama de dispositivos SOHO e IoT vulneráveis e um número enorme de dispositivos vulneráveis na Internet, dando à Raptor Train uma certa 'persistência' inerente.
Os nós são infectados por um implante em memória rastreado como Nosedive, uma variante personalizada da botnet Mirai, via servidores de payload da Camada 2 configurados explicitamente para esse propósito.
O binário ELF vem com capacidades para executar comandos, fazer upload e download de arquivos e montar ataques DDoS.
Os nós da Camada 2, por outro lado, são rotacionados cerca de a cada 75 dias e estão baseados principalmente nos EUA, Singapura, Reino Unido, Japão e Coreia do Sul.
O número de nós C2 aumentou de aproximadamente 1-5 entre 2020 e 2022 para pelo menos 60 entre junho de 2024 e agosto de 2024.
Esses nós são flexíveis, pois também atuam como servidores de exploração para cooptar novos dispositivos para a botnet, servidores de payload e até facilitam o reconhecimento de entidades visadas.
Pelo menos quatro campanhas diferentes foram vinculadas à botnet Raptor Train em constante evolução desde meados de 2020, cada uma delas distinguida pelos domínios raiz usados e pelos dispositivos visados:
Crossbill (de maio de 2020 a abril de 2022) - uso do domínio raiz C2 k3121.com e subdomínios associados
Finch (de julho de 2022 a junho de 2023) - uso do domínio raiz C2 b2047.com e subdomínios C2 associados
Canary (de maio de 2023 a agosto de 2023) - uso do domínio raiz C2 b2047.com e subdomínios C2 associados, enquanto se baseia em droppers de múltiplos estágios
Oriole (de junho de 2023 a setembro de 2024) - uso do domínio raiz C2 w8510.com e subdomínios C2 associados
A campanha Canary, que visava fortemente os modems ActionTec PK5000, câmeras IP Hikvision, NVRs Shenzhen TVT e roteadores ASUS, é notável por empregar uma própria cadeia de infecção de múltiplas camadas para baixar um script bash de primeira fase, que se conecta a um servidor de payload da Camada 2 para recuperar Nosedive e um segundo script bash.
O novo script bash, por sua vez, tenta baixar e executar um terceiro script bash do servidor de payload a cada 60 minutos.
"De fato, o domínio C2 w8510.com para [a campanha Oriole] tornou-se tão proeminente entre dispositivos IoT comprometidos, que até 3 de junho de 2024, ele foi incluído nos rankings de domínios do Cisco Umbrella," disse a Lumen.
Até pelo menos 7 de agosto de 2024, ele também foi incluído nos top 1 milhão de domínios do Cloudflare Radar.
Isto é preocupante porque domínios que estão nessas listas de popularidade muitas vezes contornam ferramentas de segurança via whitelist de domínios, permitindo que eles cresçam e mantenham acesso e ainda evitem detecção.
Ataques DDoS emanando da botnet não foram detectados até o momento, embora evidências mostrem que ela foi armamentizada para visar entidades dos EUA e Taiwan nos setores militar, governamental, ensino superior, telecomunicações, base industrial de defesa (DIB) e tecnologia da informação (TI).
Além disso, bots emaranhados dentro da Raptor Train provavelmente realizaram tentativas de exploração contra servidores Atlassian Confluence e appliances Ivanti Connect Secure (ICS) nos mesmos setores, sugerindo esforços de varredura generalizados.
As ligações com a Flax Typhoon – uma equipe de hackers com um histórico de visar entidades em Taiwan, Sudeste Asiático, América do Norte e África – surgem de sobreposições na pegada de vitimologia, uso da língua chinesa e outras similaridades táticas.
"Este é um sistema de controle robusto de nível empresarial usado para gerenciar até 60 servidores C2 e seus nós infectados a qualquer momento," disse a Lumen.
"Este serviço possibilita um conjunto completo de atividades, incluindo exploração escalável de bots, gerenciamento de vulnerabilidades e exploits, gestão remota da infraestrutura C2, uploads e downloads de arquivos, execução remota de comandos e a capacidade de adaptar ataques de DDoS baseados em IoT em grande escala." O FBI Desmantela Maciça Botnet Flax Typhoon.
O Departamento de Justiça dos EUA (DoJ) anunciou na quarta-feira(18) a desativação da botnet Raptor Train, em conformidade com uma operação de aplicação da lei autorizada pelo tribunal.
Também atribuiu o ator de ameaça Flax Typhoon a uma empresa de capital aberto com sede em Pequim conhecida como Integrity Technology Group.
"O malware conectou esses milhares de dispositivos infectados em uma botnet, controlada pela Integrity Technology Group, que foi usada para conduzir atividades cibernéticas maliciosas disfarçadas de tráfego de internet rotineiro dos dispositivos de consumidores infectados," disse o DoJ.
Dispositivos da botnet por país:
A operação viu a infraestrutura dos atacantes ser apreendida para emitir comandos desabilitantes ao malware em dispositivos infectados, apesar dos esforços infrutíferos feitos pelos atores de ameaça para interferir na ação de remediação por meio de um ataque DDoS direcionado aos servidores que o Federal Bureau of Investigation (FBI) estava usando para realizar a ordem judicial.
"A empresa construiu um aplicativo online que permite aos seus clientes fazer login e controlar dispositivos de vítimas infectadas especificados, incluindo com um menu de comandos cibernéticos maliciosos usando uma ferramenta chamada 'arsenal-de-vulnerabilidade,'" disse o DoJ.
O aplicativo online foi rotulado proeminentemente como 'KRLab,' uma das principais marcas públicas usadas pela Integrity Technology Group. A botnet consistia em mais de 260.000 dispositivos em junho de 2024, com vítimas espalhadas pela América do Norte (135.300), Europa (65.600), Ásia (50.400), África (9.200) e Oceania (2.400) e América do Sul (800).
No total, mais de 1,2 milhão de registros de dispositivos comprometidos foram identificados em um banco de dados MySQL hospedado em um servidor de gerenciamento da Camada 3 usado para administrar e controlar a botnet e os servidores C2 por meio do aplicativo Sparrow.
Sparrow também contém um módulo para explorar redes de computadores por meio de um arsenal de falhas conhecidas e de zero-day.
Botnets como KV-Botnet e Raptor Train são proxies ideais, pois podem ser abusados pelos atores de ameaça para ocultar suas identidades enquanto montam ataques DDoS ou comprometem redes visadas.
Também tendem a evitar defesas de segurança de rede, dado que a atividade maliciosa está originando de endereços IP com boa reputação.
"O governo chinês vai continuar a mirar suas organizações e nossa infraestrutura crítica — seja por conta própria ou disfarçado através de seus proxies," disse o diretor do FBI, Christopher Wray, chamando a Integrity Technology Group de realizar coleta de inteligência e reconhecimento para agências de segurança do governo chinês.
"Em última análise, como parte desta operação, conseguimos identificar milhares de dispositivos infectados e, então, com autorização judicial, emitimos comandos para remover o malware deles, arrancando-os do controle da China", finaliza o comunicado.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...