Des chercheurs en cybersécurité ont découvert un botnet jamais vu auparavant composé d’une armée de petits bureaux/bureaux à domicile (SOHO) et d’appareils IoT qui sont probablement exploités par un acteur de menace étatique chinois appelé Flax Typhoon (alias Ethereal Panda ou RedJuliett).
Le botnet sophistiqué, surnommé Le train des rapaces Le système, développé par Black Lotus Labs de Lumen, serait opérationnel depuis au moins mai 2020, atteignant un pic de 60 000 appareils activement compromis en juin 2023.
« Depuis lors, plus de 200 000 routeurs SOHO, appareils NVR/DVR, serveurs de stockage en réseau (NAS) et caméras IP ont été intégrés au botnet Raptor Train, ce qui en fait l’un des plus grands botnets IoT parrainés par l’État chinois découverts à ce jour », a déclaré la société de cybersécurité. dit dans un rapport de 81 pages partagé avec The Hacker News.
On estime que l’infrastructure qui alimente le botnet a piégé des centaines de milliers d’appareils depuis sa création, le réseau étant alimenté par une architecture à trois niveaux composée des éléments suivants :
- Niveau 1 : appareils SOHO/IoT compromis
- Niveau 2 : serveurs d’exploitation, serveurs de charge utile et serveurs de commande et de contrôle (C2)
- Niveau 3 : nœuds de gestion centralisés et interface d’application Electron multiplateforme appelée Sparrow (également appelé Node Comprehensive Control Tool, ou NCCT)
Le fonctionnement est le suivant : les tâches du bot sont initiées à partir des nœuds de gestion « Sparrow » de niveau 3, qui sont ensuite acheminés via les serveurs C2 de niveau 2 appropriés, puis envoyés aux bots eux-mêmes de niveau 1, qui constituent une grande partie du botnet.
Certains des appareils ciblés incluent des routeurs, des caméras IP, des DVR et des NAS de divers fabricants tels que ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK et Zyxel.
La majorité des nœuds de niveau 1 ont été géolocalisés aux États-Unis, à Taïwan, au Vietnam, au Brésil, à Hong Kong et en Turquie. Chacun de ces nœuds a une durée de vie moyenne de 17,44 jours, ce qui indique la capacité de l’acteur malveillant à réinfecter les appareils à volonté.
« Dans la plupart des cas, les opérateurs n’ont pas mis en place un mécanisme de persistance qui survit après un redémarrage », a noté Lumen.
« La confiance dans la réexploitabilité vient de la combinaison d’un vaste éventail d’exploits disponibles pour une large gamme d’appareils SOHO et IoT vulnérables et d’un nombre énorme d’appareils vulnérables sur Internet, ce qui confère à Raptor Train une persistance quelque peu « inhérente ».
Les nœuds sont infectés par un implant en mémoire identifié comme Nosedive, une variante personnalisée du botnet Mirai, via des serveurs de charge utile de niveau 2 explicitement configurés à cet effet. Le binaire ELF est doté de capacités permettant d’exécuter des commandes, de télécharger et de charger des fichiers et de lancer des attaques DDoS.
Les nœuds de niveau 2, quant à eux, sont renouvelés environ tous les 75 jours et sont principalement basés aux États-Unis, à Singapour, au Royaume-Uni, au Japon et en Corée du Sud. Le nombre de nœuds C2 est passé d’environ 1 à 5 entre 2020 et 2022 à pas moins de 60 entre juin 2024 et août 2024.
Ces nœuds sont flexibles dans la mesure où ils agissent également comme serveurs d’exploitation pour coopter de nouveaux appareils dans le botnet, des serveurs de charge utile et même faciliter la reconnaissance des entités ciblées.
Au moins quatre campagnes différentes ont été liées au botnet Raptor Train en constante évolution depuis la mi-2020, chacune d’entre elles se distinguant par les domaines racines utilisés et les appareils ciblés –
- Bec-croisé des sapins (de mai 2020 à avril 2022) – utilisation du domaine racine C2 k3121.com et des sous-domaines associés
- Finch (de juillet 2022 à juin 2023) – utilisation du domaine racine C2 b2047.com et des sous-domaines C2 associés
- Canary (de mai 2023 à août 2023) – utilisation du domaine racine C2 b2047.com et des sous-domaines C2 associés, tout en s’appuyant sur des droppers à plusieurs étapes
- Oriole (de juin 2023 à septembre 2024) – utilisation du domaine racine C2 w8510.com et des sous-domaines C2 associés
La campagne Canary, qui ciblait principalement les modems ActionTec PK5000, les caméras IP Hikvision, les NVR Shenzhen TVT et les routeurs ASUS, est remarquable pour avoir utilisé sa propre chaîne d’infection multicouche pour télécharger un script bash de première étape, qui se connecte à un serveur de charge utile de niveau 2 pour récupérer Nosedive et un script bash de deuxième étape.
Le nouveau script bash, à son tour, tente de télécharger et d’exécuter un script bash de troisième étape à partir du serveur de charge utile toutes les 60 minutes.
« En fait, le domaine C2 w8510.com pour [the Oriole] « La campagne est devenue si importante parmi les appareils IoT compromis qu’au 3 juin 2024, elle était incluse dans le classement des domaines Cisco Umbrella », a déclaré Lumen.
« Au moins le 7 août 2024, il figurait également dans le top 1 million de domaines de Cloudflare Radar. C’est un exploit inquiétant car les domaines qui figurent dans ces listes de popularité contournent souvent les outils de sécurité via la liste blanche de domaines, ce qui leur permet de développer et de maintenir l’accès et d’éviter davantage la détection. »
Aucune attaque DDoS émanant du botnet n’a été détectée à ce jour, bien que des preuves montrent qu’il a été utilisé comme arme pour cibler des entités américaines et taïwanaises dans les secteurs militaire, gouvernemental, de l’enseignement supérieur, des télécommunications, de la base industrielle de défense (DIB) et des technologies de l’information (IT).
De plus, les robots empêtrés dans Raptor Train ont probablement mené des tentatives d’exploitation possibles contre les serveurs Atlassian Confluence et les appareils Ivanti Connect Secure (ICS) dans les mêmes secteurs verticaux, suggérant des efforts d’analyse généralisés.
Les liens avec Flax Typhoon – une équipe de pirates informatiques ayant pour habitude de cibler des entités à Taiwan, en Asie du Sud-Est, en Amérique du Nord et en Afrique – découlent de chevauchements dans l’empreinte de la victimologie, de l’utilisation de la langue chinoise et d’autres similitudes tactiques.
« Il s’agit d’un système de contrôle robuste et de niveau entreprise utilisé pour gérer plus de 60 serveurs C2 et leurs nœuds infectés à tout moment », a déclaré Lumen.
« Ce service permet une suite complète d’activités, notamment l’exploitation évolutive des robots, la gestion des vulnérabilités et des exploits, la gestion à distance de l’infrastructure C2, les téléchargements et les chargements de fichiers, l’exécution de commandes à distance et la possibilité de personnaliser les attaques par déni de service distribué (DDoS) basées sur l’IoT à grande échelle. »