Devis de remise multi-licences
Sécurité informatique Un groupe de cyberespionnage chinois lance le botnet...

Un groupe de cyberespionnage chinois lance le botnet Raptor Train, ciblant les armées américaines et taïwanaises

Par Mura en Sécurité informatique
Se traduisent par :
Français

Des experts en cybersécurité ont découvert une opération de botnet massive orchestrée par un groupe d’espionnage parrainé par l’État chinois. Ce botnet, dont le nom de code est Raptor Train , a compromis des centaines de milliers d’appareils de petites entreprises/bureaux à domicile (SOHO) et d’appareils connectés à l’Internet des objets (IoT), mettant en danger des infrastructures critiques aux États-Unis et à Taïwan. Le botnet cible principalement des secteurs tels que l’armée, le gouvernement, l’enseignement supérieur, les télécommunications et les bases industrielles de défense.

Le train Raptor est une menace à plusieurs niveaux

Selon un rapport de Black Lotus Labs, la branche de recherche de Lumen Technologies, le botnet a été créé par le groupe de hackers chinois connu sous le nom de Flax Typhoon . Ce groupe de menaces persistantes avancées (APT) est connu pour infiltrer des organisations taïwanaises tout en restant furtif en utilisant un minimum de logiciels malveillants et des outils logiciels légitimes. Black Lotus Labs estime que le botnet a infecté plus de 200 000 appareils depuis sa création en mai 2020. À son apogée, à la mi-2023, plus de 60 000 appareils ont été activement compromis.

L'infrastructure de commande et de contrôle (C2) derrière le botnet est très sophistiquée. Le backend est alimenté par une plateforme Node.js centralisée, tandis qu'un outil frontend multiplateforme appelé Sparrow gère les appareils compromis. Sparrow est conçu pour exécuter des commandes à distance, gérer les vulnérabilités, faciliter les transferts de fichiers et, potentiellement, lancer des attaques par déni de service distribué (DDoS). Cependant, aucune activité DDoS n'a été signalée à ce jour par le botnet.

Exploitation des appareils IoT à des fins d'espionnage

Le botnet Raptor Train est divisé en trois niveaux. Le niveau 1 comprend les appareils IoT compromis tels que les routeurs, les modems, les caméras IP et les systèmes de stockage en réseau (NAS). Ces appareils sont constamment renouvelés et restent actifs pendant 17 jours en moyenne avant d'être remplacés. Le niveau 2 est responsable des serveurs d'exploitation et des nœuds C2, tandis que le niveau 3 gère le réseau via la plateforme Sparrow .

Plus de 20 types d'appareils différents, dont des modems d'ActionTec, ASUS et DrayTek Vigor, ainsi que des caméras IP de D-Link, Hikvision et Panasonic, sont exploités à l'aide d'un mélange de vulnérabilités zero-day et connues. Le malware qui alimente les nœuds de niveau 1, baptisé Nosedive , est une variante du tristement célèbre implant Mirai. Nosedive fonctionne entièrement en mémoire, ce qui le rend extrêmement difficile à détecter, et infecte une large gamme d'appareils, notamment ceux dotés d'architectures MIPS, ARM, SuperH et PowerPC.

Cibler les infrastructures critiques américaines et taïwanaises

Le botnet a analysé et ciblé de manière approfondie les secteurs clés de l'armée et du gouvernement américains, ainsi que les organisations de la base industrielle de défense (DIB). Les chercheurs de Black Lotus Labs ont observé une activité de botnet visant à exploiter des logiciels vulnérables comme les serveurs Atlassian Confluence et les appareils Ivanti Connect Secure, en se concentrant sur les États-Unis et Taïwan.

Dans un cas, les opérateurs de botnet ont ciblé une agence gouvernementale au Kazakhstan, ce qui illustre la portée mondiale de l'opération Raptor Train. Les attaques s'appuient sur des outils personnalisés et des techniques avancées, ce qui rend difficile l'identification et la neutralisation du botnet.

Réponse des forces de l’ordre et de l’industrie

En réponse à la menace posée par le botnet Raptor Train, Black Lotus Labs a supprimé le trafic provenant des nœuds et infrastructures connus du botnet. Les forces de l'ordre américaines travaillent activement au démantèlement du botnet, qui reste une menace imminente pour les infrastructures critiques du monde entier.

Bien que l'objectif principal du botnet soit l'espionnage, sa capacité à exécuter des commandes à distance et à gérer les vulnérabilités suscite des inquiétudes quant aux attaques DDoS potentielles ou à d'autres activités perturbatrices. Alors que la communauté de la cybersécurité continue de surveiller et d'atténuer cette menace, les organisations des États-Unis et de Taïwan doivent rester vigilantes pour sécuriser leurs appareils et réseaux IoT contre toute exploitation ultérieure.

La découverte du botnet Raptor Train nous rappelle brutalement la vulnérabilité des objets connectés dans le monde interconnecté d'aujourd'hui. Alors que les groupes de cyberespionnage chinois ciblent des secteurs critiques aux États-Unis et à Taïwan, il n'a jamais été aussi important de maintenir des mesures de cybersécurité strictes. Les organisations doivent s'assurer que leurs réseaux et leurs appareils sont régulièrement mis à jour et corrigés pour se défendre contre ce botnet sophistiqué.

Principaux points à retenir :

  • Le groupe APT Flax Typhoon a construit le botnet Raptor Train, ciblant les entités militaires et gouvernementales américaines et taïwanaises.
  • Plus de 200 000 appareils IoT ont été infectés, en particulier les routeurs, les modems, les caméras IP et les systèmes NAS.
  • L'infrastructure du botnet est robuste et utilise des outils avancés comme la plateforme Sparrow pour la gestion et l'exploitation à distance.
  • Les forces de l’ordre américaines travaillent activement à neutraliser l’infrastructure du botnet.

    • En comprenant les tactiques et les cibles de groupes comme Flax Typhoon, nous pouvons mieux protéger notre infrastructure critique contre les futures cybermenaces.

    Chargement...