Siber güvenlik araştırmacıları, büyük ihtimalle Flax Typhoon (diğer adıyla Ethereal Panda veya RedJuliett) adlı Çinli bir ulus-devlet tehdit aktörü tarafından işletilen küçük ofis/ev ofisi (SOHO) ve IoT cihazlarından oluşan bir ordudan oluşan daha önce hiç görülmemiş bir botnet ortaya çıkardı.
Karmaşık botnet, lakaplı Raptor Treni Lumen’in Black Lotus Labs’ı tarafından geliştirilen bu saldırının en azından Mayıs 2020’den beri faaliyette olduğu ve Haziran 2023’te 60.000 aktif olarak tehlikeye atılmış cihaz sayısına ulaştığı düşünülüyor.
Siber güvenlik şirketi, The Hacker News ile paylaştığı 81 sayfalık raporda, “O tarihten bu yana 200.000’den fazla SOHO yönlendirici, NVR/DVR cihazı, ağa bağlı depolama (NAS) sunucusu ve IP kamera Raptor Train botnetine dahil edildi; bu da onu bugüne kadar keşfedilen en büyük Çin devlet destekli IoT botnetlerinden biri haline getirdi” dedi.
Botnet’i çalıştıran altyapının, kurulduğu günden bu yana yüz binlerce cihazı tuzağa düşürdüğü tahmin ediliyor ve ağ, aşağıdakilerden oluşan üç katmanlı bir mimariyle destekleniyor:
- 1. Seviye: Tehlikeye atılmış SOHO/IoT cihazları
- 2. Seviye: İstismar sunucuları, yük sunucuları ve komuta ve kontrol (C2) sunucuları
- 3. Kademe: Merkezi yönetim düğümleri ve Sparrow (diğer adıyla Node Kapsamlı Kontrol Aracı veya NCCT) olarak adlandırılan platformlar arası bir Electron uygulama ön ucu
Çalışma şekli şu şekildedir: Bot görevleri, 3. Kademe “Sparrow” yönetim düğümlerinden başlatılır, daha sonra uygun 2. Kademe C2 sunucularına yönlendirilir ve daha sonra botnet’in büyük bir bölümünü oluşturan 1. Kademedeki botlara gönderilir.
Hedef alınan cihazlar arasında ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK ve Zyxel gibi çeşitli üreticilerin yönlendiricileri, IP kameraları, DVR’leri ve NAS’ları yer alıyor.
1. Kademe düğümlerinin çoğunluğu ABD, Tayvan, Vietnam, Brezilya, Hong Kong ve Türkiye’ye coğrafi olarak konumlandırılmıştır. Bu düğümlerin her birinin ortalama ömrü 17,44 gündür ve bu da tehdit aktörünün cihazları istediği zaman yeniden enfekte etme yeteneğini gösterir.
Lumen, “Çoğu durumda operatörler, yeniden başlatma sonrasında bile varlığını sürdürebilecek bir kalıcılık mekanizması oluşturmadı” dedi.
“Tekrar kullanılabilirliğe olan güven, çok çeşitli savunmasız SOHO ve IoT cihazları için mevcut olan geniş yelpazedeki istismarların ve internetteki çok sayıda savunmasız cihazın birleşiminden kaynaklanmaktadır ve bu da Raptor Train’e bir nevi ‘doğal’ bir kalıcılık kazandırmaktadır.”
Düğümler, Mirai botnetinin özel bir çeşidi olan Nosedive olarak izlenen bellek içi bir implant tarafından, bu amaç için açıkça kurulmuş Tier 2 yük sunucuları aracılığıyla enfekte edilir. ELF ikilisi, komutları yürütme, dosyaları yükleme ve indirme ve DDoS saldırıları düzenleme yetenekleriyle birlikte gelir.
Öte yandan, 2. Kademe düğümleri yaklaşık her 75 günde bir döndürülür ve öncelikli olarak ABD, Singapur, İngiltere, Japonya ve Güney Kore’de bulunur. C2 düğümlerinin sayısı 2020 ile 2022 arasında yaklaşık 1-5’ten Haziran 2024 ile Ağustos 2024 arasında en az 60’a çıkmıştır.
Bu düğümler, yeni cihazları botnet’e dahil etmek, yük sunucuları oluşturmak ve hatta hedeflenen varlıkların keşfini kolaylaştırmak için istismar sunucuları olarak da işlev görmeleri bakımından esnektir.
Sürekli gelişen Raptor Train botnet’ine 2020 yılının ortalarından bu yana en az dört farklı kampanya bağlandı; bunların her biri kullanılan kök etki alanlarına ve hedeflenen cihazlara göre farklılık gösteriyor.
- Crossbill (Mayıs 2020’den Nisan 2022’ye kadar) – C2 kök etki alanı k3121.com ve ilişkili alt etki alanlarının kullanımı
- Finch (Temmuz 2022’den Haziran 2023’e kadar) – b2047.com C2 kök etki alanının ve ilişkili C2 alt etki alanlarının kullanımı
- Kanarya (Mayıs 2023’ten Ağustos 2023’e kadar) – Çok aşamalı dropper’lara güvenerek C2 kök etki alanı b2047.com ve ilişkili C2 alt etki alanlarının kullanımı
- Oriole (Haziran 2023’ten Eylül 2024’e kadar) – C2 kök etki alanı w8510.com ve ilişkili C2 alt etki alanlarının kullanımı
ActionTec PK5000 modemleri, Hikvision IP kameraları, Shenzhen TVT NVR’leri ve ASUS yönlendiricilerini yoğun bir şekilde hedef alan Canary saldırısı, birinci aşamada bir bash betiğini indirmek için kendi çok katmanlı enfeksiyon zincirini kullanması ve Nosedive ile ikinci aşamada bir bash betiğini almak için bir Tier 2 yük sunucusuna bağlanmasıyla dikkat çekiyor.
Yeni bash betiği ise her 60 dakikada bir payload sunucusundan üçüncü aşama bash betiğini indirmeyi ve çalıştırmayı dener.
“Aslında, w8510.com C2 alan adı [the Oriole] Lumen, “Kampanya, tehlikeye atılan IoT cihazları arasında o kadar belirgin hale geldi ki, 3 Haziran 2024 itibarıyla Cisco Umbrella alan adı sıralamalarına dahil edildi” dedi.
“En azından 7 Ağustos 2024’e kadar, Cloudflare Radar’ın en iyi 1 milyon alan adına da dahil edildi. Bu endişe verici bir başarıdır çünkü bu popülerlik listelerinde yer alan alan adları genellikle alan adı beyaz listeleme yoluyla güvenlik araçlarını atlatarak büyümelerini ve erişimi sürdürmelerini ve tespit edilmekten daha fazla kaçınmalarını sağlar.”
Botnetten kaynaklanan herhangi bir DDoS saldırısı şu ana kadar tespit edilmedi, ancak kanıtlar bunun ABD ve Tayvan’daki askeri, hükümet, yüksek öğrenim, telekomünikasyon, savunma sanayi üssü (DIB) ve bilgi teknolojisi (BT) sektörlerindeki kuruluşları hedef almak üzere silahlandırıldığını gösteriyor.
Dahası, Raptor Train’e bulaşmış botların, aynı dikey pazardaki Atlassian Confluence sunucularına ve Ivanti Connect Secure (ICS) cihazlarına karşı olası istismar girişimlerinde bulunmuş olması, yaygın tarama çabalarına işaret ediyor.
Tayvan, Güneydoğu Asya, Kuzey Amerika ve Afrika’daki varlıkları hedef alma geçmişine sahip bir bilgisayar korsanı ekibi olan Flax Typhoon ile bağlantılar, kurban bilimi ayak izindeki örtüşmelerden, Çince dil kullanımından ve diğer taktik benzerliklerden kaynaklanıyor.
Lumen, “Bu, herhangi bir anda 60’tan fazla C2 sunucusunu ve bunların enfekte olmuş düğümlerini yönetmek için kullanılan, sağlam, kurumsal düzeyde bir kontrol sistemidir” dedi.
“Bu hizmet, botların ölçeklenebilir şekilde istismar edilmesi, güvenlik açığı ve istismar yönetimi, C2 altyapısının uzaktan yönetimi, dosya yükleme ve indirme, uzaktan komut yürütme ve IoT tabanlı dağıtılmış hizmet reddi (DDoS) saldırılarını büyük ölçekte uyarlama yeteneği dahil olmak üzere bir dizi etkinliği mümkün kılıyor.”