200 000 взломанных устройств – вредоносная сеть расширяется с неимоверной скоростью.
Исследователи в области кибербезопасности обнаружили новый ботнет, созданный с использованием устройств для малых офисов и домашних сетей (SOHO), а также IoT-устройств. Этот ботнет, по предположениям, управляется китайской хакерской группировкой Flax Typhoon, также известной как Ethereal Panda или RedJuliett.
Под названием Raptor Train, этот ботнет действует с мая 2020 года и достиг пика в июне 2023 года, когда в его сети находилось около 60 000 взломанных устройств. По данным компании Black Lotus Labs, за это время было зафиксировано более 200 000 устройств, включая маршрутизаторы, IP-камеры и сетевые хранилища данных, которые стали частью ботнета. Это делает Raptor Train одним из крупнейших китайских ботнетов, основанных на IoT-устройствах.
Инфраструктура ботнета построена на трёхуровневой архитектуре: первый уровень состоит из взломанных устройств SOHO/IoT, второй — из серверов для эксплуатации и управления, третий — из центральных узлов, использующих инструмент под названием Sparrow. Через него ботнет может управлять своими узлами, распространяя команды на устройства первого уровня.
Среди атакованных девайсов оказались продукты известных производителей, таких как ASUS, DrayTek, Hikvision, TP-LINK и Synology. Основная часть взломанных устройств расположена в США, Тайване, Вьетнаме и Бразилии, и их средний срок жизни в ботнете составляет около 17 дней.
В большинстве случаев злоумышленники не используют механизмы, сохраняющиеся после перезагрузки устройства, полагаясь на возможность повторного взлома. Это обусловлено наличием множества уязвимостей и огромным количеством доступного в сети слабозащищённого оборудования.
Основой для распространения Raptor Train стал вредоносный код под названием Nosedive, являющийся модификацией известного ботнета Mirai. Этот код позволяет хакерам выполнять команды, передавать файлы и организовывать атаки типа DDoS.
Серверы второго уровня, которые обеспечивают управление ботнетом, меняются каждые 75 дней и размещены в странах, таких как США, Великобритания и Южная Корея. За последние два года число этих серверов увеличилось с нескольких единиц до 60.
С момента создания ботнета было проведено несколько операций по его развитию. Например, кампания Canary (с мая по август 2023 года) активно использовала уязвимости в устройствах ActionTec и ASUS, применяя сложные цепочки заражений для внедрения вредоносного кода.
Отличительной чертой последней зловредной операции под названием Oriole стала массовая популярность домена, использованного для управления ботнетом. К июню 2024 года этот домен вошёл в рейтинги надёжных сайтов Cisco Umbrella и Cloudflare Radar, что позволило ему обходить системы безопасности через белые списки.
Хотя прямых DDoS-атак с применением ботнета пока не зафиксировано, эксперты считают, что он может быть использован для кибератак на военные и правительственные организации США и Тайваня.
Но доступ к знаниям открыт для всех