Cybersicherheitsforscher haben ein noch nie dagewesenes Botnetz aufgedeckt, das aus einer Armee von Small Office/Home Office (SOHO)- und IoT-Geräten besteht, die wahrscheinlich von einem chinesischen Nationalstaat-Bedrohungsakteur namens Flax Typhoon (auch bekannt als Ethereal Panda oder RedJuliett) betrieben werden.
Das hochentwickelte Botnetz mit dem Namen Raptor Train von Lumen’s Black Lotus Labs ist vermutlich seit mindestens Mai 2020 in Betrieb und erreichte im Juni 2023 einen Höchststand von 60.000 aktiv kompromittierten Geräten.
„Seitdem wurden mehr als 200.000 SOHO-Router, NVR/DVR-Geräte, Network Attached Storage (NAS)-Server und IP-Kameras in das Raptor Train-Botnetz eingebunden, was es zu einem der größten staatlich geförderten IoT-Botnetze macht, die bisher entdeckt wurden“, so das Cybersicherheitsunternehmen in einem 81-seitigen Bericht, der The Hacker News vorliegt.
Die Infrastruktur, die das Botnetz antreibt, hat seit seiner Entstehung schätzungsweise Hunderttausende von Geräten infiziert. Das Netzwerk basiert auf einer dreistufigen Architektur, die sich aus folgenden Komponenten zusammensetzt:
Stufe 1: Kompromittierte SOHO/IoT-Geräte
Stufe 2: Exploitation-Server, Payload-Server und Command-and-Control (C2)-Server
Stufe 3: Zentralisierte Verwaltungsknoten und ein plattformübergreifendes Electron-Frontend namens Sparrow (auch bekannt als Node Comprehensive Control Tool oder NCCT)
Die Funktionsweise sieht so aus, dass Bot-Aufgaben von den Sparrow-Verwaltungsknoten der Stufe 3 initiiert, dann über die entsprechenden C2-Server der Stufe 2 geleitet und schließlich an die Bots selbst in Stufe 1 gesendet werden, die einen Großteil des Botnetzes ausmachen.
Zu den Geräten, auf die es abgesehen ist, gehören Router, IP-Kameras, DVRs und NAS von verschiedenen Herstellern wie ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK und Zyxel.
Ein Großteil der Knoten der Stufe 1 wurde in den USA, Taiwan, Vietnam, Brasilien, Hongkong und der Türkei geortet. Jeder dieser Knoten hat eine durchschnittliche Lebensdauer von 17,44 Tagen, was auf die Fähigkeit des Bedrohungsakteurs hindeutet, die Geräte nach Belieben neu zu infizieren.
„In den meisten Fällen haben die Betreiber keinen Persistenzmechanismus eingebaut, der einen Neustart überlebt“, so Lumen. „Das Vertrauen in die erneute Ausnutzbarkeit ergibt sich aus der Kombination aus einer Vielzahl von Exploits, die für eine breite Palette anfälliger SOHO- und IoT-Geräte verfügbar sind, und einer enormen Anzahl anfälliger Geräte im Internet, was Raptor Train eine gewisse ‚inhärente‘ Persistenz verleiht.“
Die Knoten werden durch ein In-Memory-Implantat namens Nosedive, eine benutzerdefinierte Variante des Mirai-Botnetzes, über Payload-Server der Stufe 2 infiziert, die speziell für diesen Zweck eingerichtet wurden. Die ELF-Binärdatei verfügt über Funktionen zur Ausführung von Befehlen, zum Hoch- und Herunterladen von Dateien und zum Mounten von DDoS-Angriffen.
Knoten der Stufe 2 hingegen werden etwa alle 75 Tage ausgetauscht und befinden sich hauptsächlich in den USA, Singapur, Großbritannien, Japan und Südkorea. Die Anzahl der C2-Knoten ist von etwa 1-5 zwischen 2020 und 2022 auf nicht weniger als 60 zwischen Juni 2024 und August 2024 gestiegen.
Diese Knoten sind flexibel, da sie auch als Exploitation-Server dienen, um neue Geräte in das Botnetz einzubinden, als Payload-Server und sogar zur Erkundung von Zielobjekten.
Mindestens vier verschiedene Kampagnen wurden seit Mitte 2020 mit dem sich ständig weiterentwickelnden Raptor Train-Botnetz in Verbindung gebracht, die sich jeweils durch die verwendeten Root-Domains und die angegriffenen Geräte unterscheiden:
Crossbill (von Mai 2020 bis April 2022) – Verwendung der C2-Root-Domain k3121.com und zugehöriger Subdomains
Finch (von Juli 2022 bis Juni 2023) – Verwendung der C2-Root-Domain b2047.com und zugehöriger C2-Subdomains
Canary (von Mai 2023 bis August 2023) – Verwendung der C2-Root-Domain b2047.com und zugehöriger C2-Subdomains, wobei auf mehrstufige Dropper zurückgegriffen wird
Oriole (von Juni 2023 bis September 2024) – Verwendung der C2-Root-Domain w8510.com und zugehöriger C2-Subdomains
Die Canary-Kampagne, die sich vor allem gegen ActionTec PK5000-Modems, Hikvision-IP-Kameras, Shenzhen TVT-NVRs und ASUS-Router richtete, zeichnet sich durch eine eigene mehrschichtige Infektionskette aus, über die ein Bash-Skript der ersten Stufe heruntergeladen wird, das sich mit einem Payload-Server der Stufe 2 verbindet, um Nosedive und ein Bash-Skript der zweiten Stufe abzurufen.
Das neue Bash-Skript wiederum versucht, alle 60 Minuten ein Bash-Skript der dritten Stufe vom Payload-Server herunterzuladen und auszuführen.
„Tatsächlich wurde die C2-Domain w8510.com für die [Oriole]-Kampagne unter kompromittierten IoT-Geräten so bekannt, dass sie am 3. Juni 2024 in das Cisco Umbrella-Domain-Ranking aufgenommen wurde“, so Lumen.
„Spätestens am 7. August 2024 wurde sie auch in die Top 1 Million Domains von Cloudflare Radar aufgenommen. Dies ist eine besorgniserregende Leistung, da Domains, die in diesen Popularitätslisten aufgeführt sind, Sicherheitsvorkehrungen häufig über Domain-Whitelisting umgehen, wodurch sie wachsen und ihren Zugriff aufrechterhalten und so eine Entdeckung weiter vermeiden können.“
Bislang wurden keine DDoS-Angriffe entdeckt, die von dem Botnetz ausgehen, doch es gibt Hinweise darauf, dass es als Waffe gegen US-amerikanische und taiwanesische Einrichtungen im Militär-, Regierungs-, Hochschul-, Telekommunikations-, Verteidigungsindustrie- (DIB) und IT-Sektor eingesetzt wurde.
Darüber hinaus haben Bots, die in Raptor Train verwickelt sind, wahrscheinlich Exploits gegen Atlassian Confluence-Server und Ivanti Connect Secure (ICS)-Appliances in denselben Branchen durchgeführt, was auf weit verbreitete Scan-Aktivitäten hindeutet.
Die Verbindungen zu Flax Typhoon – einer Hackergruppe, die in der Vergangenheit bereits Unternehmen in Taiwan, Südostasien, Nordamerika und Afrika ins Visier genommen hat – ergeben sich aus Überschneidungen bei den Opfern, der Verwendung der chinesischen Sprache und anderen taktischen Ähnlichkeiten.
„Dies ist ein robustes Kontrollsystem der Enterprise-Klasse, mit dem bis zu 60 C2-Server und die daran angeschlossenen infizierten Knoten gleichzeitig verwaltet werden können“, so Lumen.
„Dieser Dienst ermöglicht eine ganze Reihe von Aktivitäten, darunter die skalierbare Ausnutzung von Bots, das Schwachstellen- und Exploit-Management, die Fernverwaltung der C2-Infrastruktur, Datei-Uploads und -Downloads, die Ausführung von Remote-Befehlen und die Möglichkeit, IoT-basierte Distributed Denial of Service (DDoS)-Angriffe maßgeschneidert durchzuführen.“