Angebot für Mehrfachlizenz-Rabatt
Computersicherheit Chinesische Cyber-Spionagegruppe entfesselt Raptor...

Chinesische Cyber-Spionagegruppe entfesselt Raptor Train-Botnetz und zielt auf US-amerikanisches und taiwanesisches Militär

Von Mura in Computersicherheit
Übersetzen Sie in:
Deutsch

In einer schockierenden Entwicklung haben Cybersicherheitsexperten einen massiven Botnet-Betrieb aufgedeckt, der von einer vom chinesischen Staat gesponserten Spionagegruppe orchestriert wurde. Dieses Botnet mit dem Codenamen Raptor Train hat Hunderttausende von Kleinbüro-/Heimbüro- (SOHO) und Internet of Things- (IoT) Geräten kompromittiert und damit kritische Infrastrukturen in den USA und Taiwan gefährdet. Das Botnet zielt in erster Linie auf Sektoren wie das Militär, die Regierung, das Hochschulwesen, die Telekommunikation und die Rüstungsindustrie ab.

Raptor Train ist eine Bedrohung auf mehreren Ebenen

Laut einem Bericht von Black Lotus Labs, dem Forschungszweig von Lumen Technologies, wurde das Botnetz von der chinesischen Hackergruppe Flax Typhoon aufgebaut. Diese Advanced Persistent Threat (APT)-Gruppe ist dafür berüchtigt, taiwanesische Organisationen zu infiltrieren und dabei durch die Verwendung minimaler Malware und legitimer Softwaretools unauffällig zu bleiben. Black Lotus Labs schätzt, dass das Botnetz seit seiner Einführung im Mai 2020 über 200.000 Geräte infiziert hat. Auf seinem Höhepunkt Mitte 2023 wurden mehr als 60.000 Geräte aktiv kompromittiert.

Die Command-and-Control-Infrastruktur (C2) hinter dem Botnetz ist hochentwickelt. Das Backend wird von einer zentralisierten Node.js-Plattform betrieben, während ein plattformübergreifendes Frontend-Tool namens Sparrow die kompromittierten Geräte verwaltet. Sparrow ist darauf ausgelegt, Befehle aus der Ferne auszuführen, Schwachstellen zu verwalten, Dateiübertragungen zu erleichtern und möglicherweise Distributed-Denial-of-Service-Angriffe (DDoS) zu starten. Bisher wurden jedoch keine DDoS-Aktivitäten aus dem Botnetz gemeldet.

IoT-Geräte für Spionagezwecke ausnutzen

Das Raptor Train-Botnetz ist in drei Ebenen unterteilt. Ebene 1 besteht aus kompromittierten IoT-Geräten wie Routern, Modems, IP-Kameras und Network-Attached-Storage-Systemen (NAS). Diese Geräte werden ständig ausgetauscht und bleiben durchschnittlich 17 Tage lang aktiv, bevor sie ersetzt werden. Ebene 2 ist für Exploit-Server und C2-Knoten verantwortlich, während Ebene 3 das Netzwerk über die Sparrow -Plattform verwaltet.

Mehr als 20 verschiedene Gerätetypen, darunter Modems von ActionTec, ASUS und DrayTek Vigor sowie IP-Kameras von D-Link, Hikvision und Panasonic, werden mithilfe einer Mischung aus Zero-Day- und bekannten Schwachstellen angegriffen. Die Malware, die die Tier-1-Knoten antreibt und Nosedive genannt wird, ist eine Variante des berüchtigten Mirai-Implantats. Nosedive arbeitet vollständig im Speicher, was es extrem schwer macht, es zu erkennen, und infiziert eine breite Palette von Geräten, darunter auch solche mit MIPS-, ARM-, SuperH- und PowerPC-Architekturen.

Kritische Infrastruktur in den USA und Taiwan im Visier

Das Botnetz hat wichtige US-Militär- und Regierungsbereiche sowie Organisationen der Verteidigungsindustrie (DIB) umfassend gescannt und ins Visier genommen. Forscher von Black Lotus Labs haben Botnetzaktivitäten beobachtet, die darauf abzielen, anfällige Software wie Atlassian Confluence-Server und Ivanti Connect Secure-Geräte auszunutzen, wobei der Schwerpunkt auf den USA und Taiwan liegt.

In einem Fall zielten die Botnetzbetreiber auf eine Regierungsbehörde in Kasachstan ab, was die globale Reichweite des Raptor Train-Vorgangs veranschaulicht. Die Angriffe basieren auf benutzerdefinierten Tools und fortschrittlichen Techniken, was es schwierig macht, das Botnetz zu identifizieren und zu neutralisieren.

Reaktion der Strafverfolgungsbehörden und der Industrie

Als Reaktion auf die Bedrohung durch das Raptor Train-Botnetz hat Black Lotus Labs den Datenverkehr von bekannten Botnetzknoten und -infrastrukturen auf Null umgeleitet. US-amerikanische Strafverfolgungsbehörden arbeiten aktiv daran, das Botnetz zu zerschlagen, das weiterhin eine drohende Gefahr für kritische Infrastrukturen weltweit darstellt.

Während das Botnetz in erster Linie auf Spionage abzielt, gibt seine Fähigkeit zur Remote-Befehlsausführung und zum Schwachstellenmanagement Anlass zur Sorge hinsichtlich möglicher DDoS-Angriffe oder anderer störender Aktivitäten. Während die Cybersicherheits-Community diese Bedrohung weiterhin überwacht und eindämmt, müssen Organisationen in den USA und Taiwan wachsam bleiben und ihre IoT-Geräte und -Netzwerke vor weiterer Ausnutzung schützen.

Die Entdeckung des Raptor Train-Botnetzes ist ein deutliches Beispiel für die Verwundbarkeit von IoT-Geräten in der heutigen vernetzten Welt. Angesichts der Tatsache, dass chinesische Cyber-Spionagegruppen kritische Sektoren in den USA und Taiwan ins Visier nehmen, ist es wichtiger denn je, strenge Cybersicherheitsmaßnahmen einzuhalten. Unternehmen sollten sicherstellen, dass ihre Netzwerke und Geräte regelmäßig gepatcht und aktualisiert werden, um sich gegen dieses hochentwickelte Botnetz zu schützen.

Wichtige Erkenntnisse :

  • Die APT-Gruppe Flax Typhoon hat das Botnetz Raptor Train aufgebaut, das auf Militär- und Regierungseinrichtungen in den USA und Taiwan abzielt.
  • Über 200.000 IoT-Geräte wurden infiziert, wobei der Schwerpunkt auf Routern, Modems, IP-Kameras und NAS-Systemen lag.
  • Die Infrastruktur des Botnetzes ist robust und verwendet fortschrittliche Tools wie die Sparrow -Plattform zur Fernverwaltung und -ausnutzung.
  • Die US-amerikanischen Strafverfolgungsbehörden arbeiten aktiv daran, die Infrastruktur des Botnetzes zu neutralisieren.

    • Wenn wir die Taktiken und Ziele von Gruppen wie Flax Typhoon verstehen, können wir unsere kritische Infrastruktur besser vor zukünftigen Cyber-Bedrohungen schützen.

    Wird geladen...