Raptor Train Botnet
Cybersicherheitsforscher haben ein neues Botnetz identifiziert, das aus kompromittierten Small Office/Home Office (SOHO)- und Internet of Things (IoT)-Geräten besteht. Dieses Botnetz wird vermutlich von einer chinesischen Bedrohungsgruppe namens Flax Typhoon, auch bekannt als Ethereal Panda oder RedJuliett, kontrolliert.
Die Forscher nannten das Botnetz „Raptor Train“. Es ist seit mindestens Mai 2020 aktiv und erreichte im Juni 2023 einen Höchststand von 60.000 kompromittierten Geräten.
Bisher wurden über 200.000 Geräte, darunter SOHO-Router, NVR/DVR-Systeme, Network Attached Storage (NAS)-Server und IP-Kameras, von Raptor Train gekapert, was es zu einem der größten staatlich geförderten IoT-Botnetze mit Verbindungen nach China macht.
Inhaltsverzeichnis
Experten schätzen, dass der Raptor Train über 200.000 Geräte betroffen hat
Man geht davon aus, dass die Infrastruktur des Botnetzes seit seiner Einführung Hunderttausende von Geräten kompromittiert hat. Es arbeitet mit einer dreistufigen Architektur:
Stufe 1: Kompromittierte SOHO- und IoT-Geräte
Tier 2: Exploitation-Server, Payload-Server und Command-and-Control-Server (C2)
Stufe 3: Zentralisierte Verwaltungsknoten und eine plattformübergreifende Electron-Anwendungsschnittstelle namens Sparrow (auch Node Comprehensive Control Tool oder NCCT genannt)
In diesem Setup werden Bot-Aufgaben von den „Sparrow“-Verwaltungsknoten der Stufe 3 initiiert, über C2-Server der Stufe 2 geleitet und schließlich an die Bots der Stufe 1 übermittelt, die den Großteil des Botnetzes ausmachen.
Zu den Zielgeräten gehören Router, IP-Kameras, DVRs und NAS-Systeme verschiedener Hersteller wie ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK und Zyxel.
Die meisten Tier-1-Knoten wurden an Standorten in den USA, Taiwan, Vietnam, Brasilien, Hongkong und der Türkei ausfindig gemacht. Jeder Knoten hat eine durchschnittliche Lebensdauer von 17,44 Tagen, was darauf hindeutet, dass der Bedrohungsakteur die Geräte bei Bedarf problemlos erneut infizieren kann.
Details zur Angriffskette des Raptor Train
In vielen Fällen haben die Betreiber keinen Persistenzmechanismus implementiert, der einen Neustart übersteht. Die Persistenz des Botnetzes wird jedoch durch die große Bandbreite an Exploits unterstützt, die für verschiedene anfällige SOHO- und IoT-Geräte verfügbar sind, und durch die große Anzahl solcher Geräte im Internet, was Raptor Train eine Art „inhärenter“ Persistenz verleiht.
Die Knoten sind über speziell zu diesem Zweck eingerichtete Tier-2-Payload-Server mit einem In-Memory-Implantat namens Nosedive infiziert, einer benutzerdefinierten Variante des Mirai-Botnetzes. Diese ELF-Binärdatei ermöglicht die Ausführung von Befehlen, das Hoch- und Herunterladen von Dateien sowie DDoS-Angriffe.
Tier-2-Knoten werden etwa alle 75 Tage rotiert und befinden sich hauptsächlich in den USA, Singapur, Großbritannien, Japan und Südkorea. Die Anzahl der C2-Knoten ist von etwa 1-5 zwischen 2020 und 2022 auf mindestens 60 zwischen Juni und August 2024 gestiegen.
Diese Tier-2-Knoten sind vielseitig und dienen nicht nur als Exploit- und Payload-Server, sondern erleichtern auch die Aufklärung von Zieleinheiten und die Einbindung neuer Geräte in das Botnetz.
Mehrere Angriffskampagnen mit Raptor-Zügen wurden aufgedeckt
Seit Mitte 2020 wurden mindestens vier verschiedene Kampagnen mit dem sich entwickelnden Botnetz Raptor Train in Verbindung gebracht, die sich jeweils durch unterschiedliche Stammdomänen und Zielgeräte auszeichneten:
- Crossbill (Mai 2020 bis April 2022) – Verwendete die C2-Stammdomäne k3121.com und die zugehörigen Subdomänen.
- Finch (Juli 2022 bis Juni 2023) – Verwendete die C2-Stammdomäne b2047.com und zugehörige C2-Subdomänen.
- Canary (Mai 2023 bis August 2023) – Verwendete ebenfalls die C2-Stammdomäne b2047.com und ihre Subdomänen, verließ sich jedoch auf mehrstufige Dropper.
- Oriole (Juni 2023 bis September 2024) – Verwendet die C2-Stammdomäne w8510.com und die zugehörigen Subdomänen.
Die Canary-Kampagne ist besonders bemerkenswert, da sie sich auf ActionTec PK5000-Modems, Hikvision IP-Kameras, Shenzhen TVT NVRs und ASUS-Router konzentriert. Sie zeichnet sich durch eine mehrschichtige Infektionskette aus, die zuerst ein Bash-Skript herunterlädt, das sich dann mit einem Tier-2-Payload-Server verbindet, um Nosedive und ein Bash-Skript der zweiten Stufe abzurufen.
Behörden ergreifen Maßnahmen gegen den Raptor Train und den Flax Typhoon
Das US-Justizministerium (DoJ) hat die Abschaltung des Raptor Train-Botnetzes nach einer gerichtlich genehmigten Strafverfolgungsmaßnahme angekündigt. Das DoJ hat den Bedrohungsakteur Flax Typhoon mit einem börsennotierten, in Peking ansässigen Unternehmen namens Integrity Technology Group in Verbindung gebracht.
Dieses Malware-Netzwerk verband Tausende infizierter Geräte mit einem von der Integrity Technology Group verwalteten Botnetz. Es wurde verwendet, um bedrohliche Cyberaktivitäten durchzuführen, die als normaler Internetverkehr der infizierten Geräte getarnt waren.
Während der Operation beschlagnahmten die Strafverfolgungsbehörden die Infrastruktur der Angreifer und erteilten Befehle, um die Malware auf infizierten Geräten zu deaktivieren. Die Bedrohungsakteure versuchten, diese Bemühungen zu behindern, indem sie einen DDoS-Angriff auf die Server starteten, die das Federal Bureau of Investigation (FBI) zur Vollstreckung des Gerichtsbeschlusses nutzte. Diese Versuche waren jedoch erfolglos.
Laut dem Justizministerium betrieb die Integrity Technology Group eine Online-Anwendung, mit der sich Kunden anmelden und kompromittierte Geräte steuern konnten. Diese Anwendung mit dem Namen „KRLab“ und der führenden öffentlichen Marke der Integrity Technology Group enthielt ein Tool namens „vulnerability-arsenal“ zur Ausführung schädlicher Cyber-Befehle.
Bis Juni 2024 war das Botnetz auf über 260.000 Geräte angewachsen. Die Opfer befanden sich in Nordamerika (135.300), Europa (65.600), Asien (50.400), Afrika (9.200), Ozeanien (2.400) und Südamerika (800).
Darüber hinaus wurden über 1,2 Millionen Datensätze kompromittierter Geräte in einer MySQL-Datenbank gefunden, die auf einem Tier-3-Verwaltungsserver gehostet wurde. Dieser Server wurde über die Sparrow-Anwendung verwaltet, diente zur Steuerung des Botnetzes und der C2-Server und enthielt ein Modul zum Ausnutzen von Computernetzwerken unter Verwendung bekannter und Zero-Day-Schwachstellen.
