Kritik Altyapı Güvenliği, Siber Savaş / Ulus Devlet Saldırıları, Uç Nokta Güvenliği
Çin Botnet’i ABD’nin Kritik Altyapısını ve Tayvan’ı Hedef Alıyor
Prajeet Nair (@prajeetskonuşuyor) •
19 Eylül 2024
Raptor Train adlı Çin devlet destekli bir botnet, küresel olarak kritik altyapıyı hedeflemek için 260.000’den fazla IoT ve ofis ağı cihazını enfekte etti. Bilgisayar korsanları, botnetlerini genişletmek için 20’den fazla farklı cihaz türünü tehlikeye atmak için sıfır gün ve bilinen güvenlik açıklarını kullandı.
Ayrıca bakınız: Corelight’tan Brian Dye, Fidye Yazılımlarını Yenmede NDR’nin Rolü Hakkında
Louisiana merkezli Lumen Technologies’in tehdit istihbarat grubu Black Lotus Labs, Çinli tehdit aktörü Flax Typhoon’a bağlı bir botnet olan Raptor Train’in yıllarca gizli kaldığını bildirdi.
Raptor Train, Mayıs 2020’de faaliyete geçti ve yönlendiriciler, modemler, IP kameralar, NAS sunucuları ve NVR/DVR cihazlarından oluşuyordu. Şu anda ABD ve Tayvan’daki askeri, hükümet, telekomünikasyon, savunma sanayi üssü ve yüksek öğrenim kurumlarını etkileyen en büyük bilinen Çin devlet destekli IoT botnetlerinden biri haline geldi.
Haziran 2023’teki zirvesinde, Raptor Train 60.000’den fazla cihazı aktif olarak tehlikeye attı. 2023’ün ortalarına gelindiğinde, botnet 200.000’den fazla enfekte ağ cihazına ulaştı ve son tahminler şu anda 260.000’den fazla cihazı kontrol ettiğini gösteriyor.
Black Lotus Labs’ın raporunda, botnetin, Sparrow adlı kurumsal düzeyde bir kontrol sistemi aracılığıyla yönetilen gelişmiş bir komuta ve kontrol altyapısına sahip olduğu, bu sayede çok sayıda tehlikeye atılmış düğümü denetleyebildiği ve aynı zamanda güvenlik açığı istismarı, uzaktan komut yürütme ve veri toplama gibi görevleri otomatikleştirebildiği belirtiliyor.
Botnet’in birincil implantı olan Nosedive, bilinen güvenlik açıklarına sahip cihazları hedeflemek üzere tasarlanmış Mirai kötü amaçlı yazılımının özel bir çeşididir. Bu enfeksiyonlar bellekte yerleşik kalır, bu da onları tespit etmeyi zorlaştırır ve geleneksel savunmalara karşı daha dirençli hale getirir.
Raptor Train operatörleri ağlarını çok katmanlı bir yaklaşım kullanarak yönetiyor: 1. Kademe cihazlar tüketici sınıfı donanımlardır, 2. ve 3. Kademe düğümler ise yük dağıtımını, istismar yönetimini ve botnet komut yürütmeyi denetleyen özel sunuculardan oluşur.
Operatörler, sıfır gün ve bilinen güvenlik açıklarından yararlanarak botnetlerini genişletmek için 20’den fazla farklı cihaz türü kullanıyor. Etkilenen cihazlar, TP-Link, ASUS, DrayTek, Zyxel, Hikvision ve Synology gibi tanınmış üreticilerin ürünleridir.
Sürekli değişen geniş cihaz havuzu, botnet’in kalıcılık mekanizması olmadan bile güçlü kalmasını sağlar; çünkü tehlikeye atılan cihazlar genellikle yenileriyle değiştirilmeden önce ortalama 17 gün boyunca aktif kalır.
Raptor Train’in büyük ihtimalle Çin’de bulunan operatörlerinin, Çin çalışma saatleri sırasında Güvenli Kabuk bağlantıları aracılığıyla 2. Kademe düğümlerini yönettiği gözlemlendi. Sparrow yönetim düğümleri tarafından kolaylaştırılan bu bağlantılar, tehdit aktörlerinin bot verilerini toplamasını, komutlar vermesini ve güvenlik açıklarını istismar etmesini sağlar.
Hong Kong ve Çin anakarasında konuşlu 3. seviye düğümler, tutarlı bir komuta yapısı sağlar ve operatörler, Node Comprehensive Control Tool v1.0.7 adlı gelişmiş bir kontrol arayüzünü kullanarak ağlarıyla günün her saati etkileşim kurar.
Raptor Train’den doğrulanmış bir dağıtılmış hizmet engelleme saldırısı olmasa da Black Lotus Labs, bu yeteneğin muhtemelen botnet operatörleri için kullanılabilir durumda olduğu konusunda uyarıyor.
Black Lotus Labs, Raptor Train’in DDoS saldırılarını ölçeklendirme ve çok sayıda cihazdaki güvenlik açıklarını istismar etme yeteneğiyle gelecekte yıkıcı operasyonlar için güçlü bir araç olabileceğini söyledi.
Araştırmacılar, 2023 ortalarında kötü amaçlı aktiviteyi izlemesi yoluyla Raptor Train’i buldu ve bu da botnet’in altyapısına dair daha derinlemesine bir araştırmaya yol açtı. Şirket o zamandan beri bilinen C2 sunucuları ve yük dağıtım noktalarıyla ilişkili boş yönlendirme trafiği de dahil olmak üzere botnet’in bölümlerini etkisiz hale getirmek için adımlar attı.
Lumen Technologies ayrıca bu botnet’e karşı savunmayı güçlendirmek için ABD hükümet kurumlarıyla istihbarat paylaştı.