Lumen Technologies’in tehdit istihbarat kolu olan Black Lotus Labs , “Raptor Train” olarak adlandırılan 200 binden fazla tehlikeye atılmış cihazdan oluşan devasa bir IoT botnet’i ortaya çıkardı . Botnet’in, Flax Typhoon olarak bilinen Çin devlet destekli tehdit aktörleri tarafından işletildiğine inanılıyor.
Raptor Train botneti tehditlere devam ediyor
2023 yılının ortalarında başlayan soruşturma, yönlendiriciler, NVR/DVR cihazları, ağa bağlı depolama (NAS) sunucuları ve IP kameralar dahil olmak üzere küçük ofis/ev ofisi (SOHO) ve IoT cihazlarından oluşan karmaşık bir ağ ortaya çıkardı. Haziran 2023’teki zirvesinde, botnet 60.000’den fazla aktif olarak tehlikeye atılmış cihazdan oluşuyordu.
Black Lotus Labs araştırmacıları, “Cihaz istismarının son dönemdeki ölçeğine dayanarak, Mayıs 2020’de kurulduğundan bu yana yüz binlerce cihazın bu ağa karışmış olduğundan şüpheleniyoruz” dedi.
Botnet’in altyapısı, bir dizi dağıtılmış yük ve komuta ve kontrol (C2) sunucusu, merkezi bir Node.js arka ucu ve “Sparrow” adlı çapraz platformlu bir Electron uygulama ön ucu aracılığıyla yönetilir. Bu kurumsal düzeydeki kontrol sistemi, tehdit aktörlerinin aynı anda 60’a kadar C2 sunucusunu ve bunların enfekte olmuş düğümlerini yönetmesini sağlar. Araştırmacılar: “Bu hizmet, botların ölçeklenebilir şekilde istismar edilmesi, güvenlik açığı ve istismar yönetimi, C2 altyapısının uzaktan yönetimi, dosya yükleme ve indirme, uzaktan komut yürütme ve IoT tabanlı dağıtılmış hizmet reddi (DDoS) saldırılarını büyük ölçekte uyarlama yeteneği dahil olmak üzere bir dizi etkinliği mümkün kılıyor” şeklinde açıklama yaptı.
Raptor Train’den kaynaklanan hiçbir DDoS saldırısı henüz gözlemlenmemiş olsa da araştırmacılar bu yeteneğin gelecekte kullanılmak üzere saklandığından şüpheleniyor. Botnet’in askeri, hükümet, yüksek öğrenim, telekomünikasyon , savunma sanayi üssü (DIB) ve BT dahil olmak üzere çeşitli sektörlerdeki ABD ve Tayvan kuruluşlarını hedef aldığına dair bağlantı kuruldu.
Tier 1 düğümlerinin çoğunda kullanılan birincil implant, “Nosedive” olarak adlandırılır ve Mirai implantının özel bir çeşididir. Tüm büyük SOHO ve IoT mimarilerini destekler ve anti-adli bilişim teknikleri kullanır, bu da algılama ve analizi zorlaştırır.
Black Lotus Labs, Raptor Train’in başlangıcından bu yana dört farklı kampanya belirledi: Crossbill (Mayıs 2020 – Nisan 2022), Finch (Temmuz 2022 – Haziran 2023), Canary (Mayıs 2023 – Ağustos 2023) ve Oriole (Haziran 2023 – günümüz). Her kampanya, gelişen taktikleri ve tehlikeye atılmış cihaz türlerinin genişlemesini gösterdi.
