Cybersecurityonderzoekers hebben een nog nooit eerder gezien botnet ontdekt dat bestaat uit een leger aan kleine kantoor-/thuiskantoor- (SOHO) en IoT-apparaten die waarschijnlijk worden beheerd door een Chinese natiestaat met de naam Flax Typhoon (ook bekend als Ethereal Panda of RedJuliett).
Het geavanceerde botnet, genaamd Raptor Trein van Black Lotus Labs van Lumen zou al sinds mei 2020 operationeel zijn, met een piek van 60.000 actief gecompromitteerde apparaten in juni 2023.
“Sindsdien zijn er meer dan 200.000 SOHO-routers, NVR/DVR-apparaten, NAS-servers (Network Attached Storage) en IP-camera’s geweest; allemaal onderdeel van het Raptor Train-botnet. Daarmee is het een van de grootste door de Chinese staat gesponsorde IoT-botnets die tot nu toe zijn ontdekt”, aldus het cybersecuritybedrijf in een rapport van 81 pagina’s dat is gedeeld met The Hacker News.
Er wordt geschat dat de infrastructuur die het botnet aandrijft sinds de oprichting honderdduizenden apparaten heeft verstrikt, waarbij het netwerk wordt aangestuurd door een architectuur met drie lagen die bestaat uit het volgende:
- Niveau 1: Gecompromitteerde SOHO/IoT-apparaten
- Niveau 2: Exploitatieservers, payloadservers en command-and-control (C2)-servers
- Niveau 3: Gecentraliseerde beheerknooppunten en een platformonafhankelijke Electron-applicatiefront-end, Sparrow genaamd (ook bekend als Node Comprehensive Control Tool of NCCT)
Het werkt zo dat bottaken worden geïnitieerd vanuit Tier 3 “Sparrow”-beheerknooppunten, die vervolgens worden gerouteerd via de juiste Tier 2 C2-servers en vervolgens naar de bots zelf in Tier 1 worden gestuurd, die een groot deel van het botnet vormen.
Tot de apparaten waarop het doelwit zich richt, behoren onder meer routers, IP-camera’s, DVR’s en NAS-systemen van verschillende fabrikanten, zoals ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK en Zyxel.
De meeste Tier 1-knooppunten zijn geolocated naar de VS, Taiwan, Vietnam, Brazilië, Hong Kong en Turkije. Elk van deze knooppunten heeft een gemiddelde levensduur van 17,44 dagen, wat aangeeft dat de dreigingsactor de apparaten naar believen opnieuw kan infecteren.
“In de meeste gevallen hebben de operators geen persistentiemechanisme ingebouwd dat een herstart overleeft”, aldus Lumen.
“Het vertrouwen in de mogelijkheid tot herexploitatie komt voort uit de combinatie van een groot aantal exploits die beschikbaar zijn voor een breed scala aan kwetsbare SOHO- en IoT-apparaten en een enorm aantal kwetsbare apparaten op internet, waardoor Raptor Train een zekere ‘inherente’ persistentie heeft.”
De nodes worden geïnfecteerd door een in-memory implant dat wordt gevolgd als Nosedive, een aangepaste variant van het Mirai-botnet, via Tier 2-payloadservers die expliciet voor dit doel zijn ingesteld. De ELF-binary wordt geleverd met mogelijkheden om opdrachten uit te voeren, bestanden te uploaden en downloaden en DDoS-aanvallen uit te voeren.
Tier 2-knooppunten worden daarentegen ongeveer elke 75 dagen geroteerd en zijn voornamelijk gevestigd in de VS, Singapore, het VK, Japan en Zuid-Korea. Het aantal C2-knooppunten is gestegen van ongeveer 1-5 tussen 2020 en 2022 tot niet minder dan 60 tussen juni 2024 en augustus 2024.
Deze knooppunten zijn flexibel omdat ze ook fungeren als exploitatieservers om nieuwe apparaten in het botnet te coöpteren, payloadservers en zelfs om verkenning van doelwitten te vergemakkelijken.
Sinds medio 2020 zijn er minstens vier verschillende campagnes gekoppeld aan het voortdurend evoluerende Raptor Train-botnet, die elk worden onderscheiden door de gebruikte rootdomeinen en de apparaten waarop ze zijn gericht –
- Crossbill (van mei 2020 tot april 2022) – gebruik van het C2-rootdomein k3121.com en bijbehorende subdomeinen
- Finch (van juli 2022 tot juni 2023) – gebruik van het C2-rootdomein b2047.com en bijbehorende C2-subdomeinen
- Canary (van mei 2023 tot augustus 2023) – gebruik van het C2-rootdomein b2047.com en bijbehorende C2-subdomeinen, terwijl er gebruik wordt gemaakt van multi-stage droppers
- Oriole (van juni 2023 tot september 2024) – gebruik van het C2-rootdomein w8510.com en bijbehorende C2-subdomeinen
De Canary-campagne, die vooral gericht was op ActionTec PK5000-modems, Hikvision IP-camera’s, Shenzhen TVT NVR’s en ASUS-routers, valt op door het gebruik van een eigen infectieketen met meerdere lagen om een bash-script van de eerste fase te downloaden. Dit script maakt verbinding met een Tier 2-payloadserver om Nosedive en een bash-script van de tweede fase op te halen.
Het nieuwe bash-script probeert op zijn beurt elke 60 minuten een bash-script van de derde fase te downloaden en uit te voeren vanaf de payload-server.
“Het C2-domein w8510.com voor de (Oriole) campagne werd zelfs zo prominent onder de gecompromitteerde IoT-apparaten, dat het op 3 juni 2024 werd opgenomen in de Cisco Umbrella-domeinranglijsten”, aldus Lumen.
“Op zijn minst op 7 augustus 2024 werd het ook opgenomen in de top 1 miljoen domeinen van Cloudflare Radar. Dit is een zorgwekkende prestatie, omdat domeinen die op deze populariteitslijsten staan, vaak beveiligingstools omzeilen via domeinwhitelisting, waardoor ze kunnen groeien en toegang kunnen behouden en detectie verder kunnen vermijden.”
Er zijn tot op heden geen DDoS-aanvallen gedetecteerd die afkomstig zijn van het botnet, hoewel er bewijs is dat het is ingezet als wapen om Amerikaanse en Taiwanese entiteiten in de sectoren leger, overheid, hoger onderwijs, telecommunicatie, defensie-industrie (DIB) en informatietechnologie (IT) aan te vallen.
Bovendien hebben bots die verstrikt zijn in Raptor Train waarschijnlijk mogelijke pogingen tot misbruik uitgevoerd tegen Atlassian Confluence-servers en Ivanti Connect Secure (ICS)-apparaten in dezelfde verticals, wat duidt op wijdverbreide scanpogingen.
De banden met Flax Typhoon – een hackersteam met een staat van dienst in het aanvallen van entiteiten in Taiwan, Zuidoost-Azië, Noord-Amerika en Afrika – vloeien voort uit overlappingen in de victimologie, het gebruik van de Chinese taal en andere tactische overeenkomsten.
“Dit is een robuust controlesysteem op ondernemingsniveau dat op elk willekeurig moment meer dan 60 C2-servers en hun geïnfecteerde knooppunten kan beheren”, aldus Lumen.
“Deze service maakt een heel scala aan activiteiten mogelijk, waaronder schaalbare exploitatie van bots, kwetsbaarheids- en exploitbeheer, extern beheer van C2-infrastructuur, uploaden en downloaden van bestanden, externe uitvoering van opdrachten en de mogelijkheid om IoT-gebaseerde Distributed Denial of Service (DDoS)-aanvallen op schaal aan te passen.”