Réseau de bots Raptor Train
Des chercheurs en cybersécurité ont identifié un nouveau botnet composé d'appareils de petites entreprises/bureaux à domicile (SOHO) et d'appareils de l'Internet des objets (IoT) compromis. Ce botnet serait contrôlé par un groupe de menaces étatiques chinoises connu sous le nom de Flax Typhoon, également appelé Ethereal Panda ou RedJuliett.
Les chercheurs ont baptisé le botnet « Raptor Train ». Il est actif depuis au moins mai 2020 et a atteint un pic de 60 000 appareils compromis en juin 2023.
À ce jour, plus de 200 000 appareils, dont des routeurs SOHO, des systèmes NVR/DVR, des serveurs de stockage en réseau (NAS) et des caméras IP, ont été détournés par Raptor Train, ce qui en fait l'un des plus grands botnets IoT parrainés par l'État et liés à la Chine.
Table des matières
Les experts estiment que le train Raptor a affecté plus de 200 000 appareils
L'infrastructure du botnet aurait compromis des centaines de milliers d'appareils depuis sa création. Il fonctionne selon une architecture à trois niveaux :
Niveau 1 : appareils SOHO et IoT compromis
Niveau 2 : serveurs d'exploitation, serveurs de charge utile et serveurs de commandement et de contrôle (C2)
Niveau 3 : nœuds de gestion centralisés et interface d'application Electron multiplateforme connue sous le nom de Sparrow (également appelée Node Comprehensive Control Tool, ou NCCT)
Dans cette configuration, les tâches du bot sont initiées à partir des nœuds de gestion « Sparrow » de niveau 3, acheminées via les serveurs C2 de niveau 2 et finalement livrées aux bots de niveau 1, qui constituent la majorité du réseau du botnet.
Les appareils ciblés comprennent des routeurs, des caméras IP, des DVR et des systèmes NAS de divers fabricants tels que ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK et Zyxel.
La plupart des nœuds de niveau 1 ont été localisés aux États-Unis, à Taiwan, au Vietnam, au Brésil, à Hong Kong et en Turquie. Chaque nœud a une durée de vie moyenne de 17,44 jours, ce qui suggère que l'acteur malveillant peut facilement réinfecter les appareils à tout moment.
Détails sur la chaîne d’attaque du train Raptor
Dans de nombreux cas, les opérateurs n'ont pas mis en place de mécanisme de persistance capable de survivre à un redémarrage. La persistance du botnet est toutefois soutenue par la vaste gamme d'exploits disponibles pour divers appareils SOHO et IoT vulnérables et par le grand nombre de ces appareils en ligne, ce qui confère à Raptor Train une sorte de persistance « inhérente ».
Les nœuds sont infectés par un implant en mémoire connu sous le nom de Nosedive, une variante personnalisée du botnet Mirai, via des serveurs de charge utile de niveau 2 spécialement configurés à cet effet. Ce binaire ELF permet l'exécution de commandes, le téléchargement et le chargement de fichiers, ainsi que les attaques DDoS.
Les nœuds de niveau 2 sont renouvelés environ tous les 75 jours et sont principalement situés aux États-Unis, à Singapour, au Royaume-Uni, au Japon et en Corée du Sud. Le nombre de nœuds C2 est passé d'environ 1 à 5 entre 2020 et 2022 à au moins 60 entre juin et août 2024.
Ces nœuds de niveau 2 sont polyvalents, servant non seulement de serveurs d’exploitation et de charge utile, mais facilitant également la reconnaissance des entités ciblées et l’intégration de nouveaux appareils dans le botnet.
Plusieurs campagnes d’attaques de trains de rapaces ont été découvertes
Depuis la mi-2020, au moins quatre campagnes distinctes ont été associées au botnet Raptor Train en évolution, chacune caractérisée par des domaines racines et des appareils ciblés différents :
- Bec-croisé des sapins (mai 2020 à avril 2022) - Utilisation du domaine racine C2 k3121.com et de ses sous-domaines associés.
- Finch (juillet 2022 à juin 2023) - A utilisé le domaine racine C2 b2047.com et les sous-domaines C2 associés.
- Canary (mai 2023 à août 2023) - J'ai également utilisé le domaine racine C2 b2047.com et ses sous-domaines, mais je me suis appuyé sur des droppers à plusieurs étapes.
- Oriole (juin 2023 à septembre 2024) - Utilisation du domaine racine C2 w8510.com et de ses sous-domaines associés.
La campagne Canary se distingue particulièrement par sa focalisation sur les modems ActionTec PK5000, les caméras IP Hikvision, les NVR Shenzhen TVT et les routeurs ASUS. Elle se distingue par une chaîne d'infection multicouche qui télécharge d'abord un script bash, qui se connecte ensuite à un serveur de charge utile de niveau 2 pour récupérer Nosedive et un script bash de deuxième étape.
Les autorités prennent des mesures contre le train des rapaces et le typhon Flax
Le ministère américain de la Justice (DoJ) a annoncé le démantèlement du botnet Raptor Train à la suite d'une opération policière autorisée par un tribunal. Le DoJ a lié l'acteur de la menace Flax Typhoon à une société cotée en bourse basée à Pékin appelée Integrity Technology Group.
Ce réseau de malwares a connecté des milliers d'appareils infectés à un botnet géré par Integrity Technology Group. Il a été utilisé pour mener des activités cybernétiques menaçantes déguisées en trafic Internet normal provenant des appareils infectés.
Au cours de l'opération, les forces de l'ordre ont saisi l'infrastructure des attaquants et ont envoyé des commandes de désactivation au logiciel malveillant sur les appareils infectés. Les acteurs de la menace ont tenté d'entraver cet effort en lançant une attaque DDoS contre les serveurs utilisés par le Federal Bureau of Investigation (FBI) pour exécuter l'ordonnance du tribunal, mais ces tentatives ont échoué.
Selon le ministère de la Justice, Integrity Technology Group exploitait une application en ligne qui permettait aux clients de se connecter et de contrôler les appareils compromis. Cette application, baptisée « KRLab » et commercialisée sous la marque publique phare d'Integrity Technology Group, comprenait un outil appelé « arsenal de vulnérabilités » permettant d'exécuter des commandes cybernétiques nuisibles.
En juin 2024, le botnet s'était étendu à plus de 260 000 appareils, avec des victimes situées en Amérique du Nord (135 300), en Europe (65 600), en Asie (50 400), en Afrique (9 200), en Océanie (2 400) et en Amérique du Sud (800).
De plus, plus de 1,2 million d'enregistrements d'appareils compromis ont été trouvés dans une base de données MySQL hébergée sur un serveur de gestion de niveau 3. Ce serveur, géré par l'application Sparrow, était utilisé pour contrôler le botnet et les serveurs C2 et comprenait un module permettant d'exploiter les réseaux informatiques en utilisant à la fois des vulnérabilités connues et zero-day.
