Seguridad de infraestructura crítica, Ciberguerra / Ataques de estados-nación, Seguridad de endpoints Una botnet china apunta a la infraestructura crítica de EE. UU. y TaiwánPrajeet Nair (@prajeetspeaks) • 19 de septiembre de 2024 Una botnet patrocinada por el estado chino llamada Raptor Train ha infectado más de 260.000 dispositivos de IoT y redes de oficina para atacar infraestructura crítica a nivel mundial. Los piratas informáticos utilizaron vulnerabilidades de día cero y conocidas para comprometer más de 20 tipos diferentes de dispositivos para expandir su botnet. Ver también: Proteja y mejore el valor de su inversión en la nube Raptor Train, una botnet vinculada al actor de amenazas chino Flax Typhoon, permaneció oculta durante años, dijo el grupo de inteligencia de amenazas de Lumen Technologies con sede en Luisiana, Black Lotus Labs, en un informe. Raptor Train comenzó a operar en mayo de 2020, y comprende enrutadores, módems, cámaras IP, servidores NAS y dispositivos NVR/DVR. Ahora se ha convertido en una de las botnets de IoT patrocinadas por el estado chino más grandes conocidas, que afecta a entidades militares, gubernamentales, de telecomunicaciones, de base industrial de defensa y de educación superior en los EE. UU. y Taiwán. En su punto máximo en junio de 2023, Raptor Train comprometió activamente más de 60.000 dispositivos. A mediados de 2023, la botnet había crecido a más de 200.000 dispositivos de red infectados, y las últimas estimaciones sugieren que ahora controla más de 260.000 dispositivos. El informe de Black Lotus Labs dijo que la botnet tiene una sofisticada infraestructura de comando y control, administrada a través de un sistema de control de nivel empresarial conocido como Sparrow, que es capaz de supervisar un gran volumen de nodos comprometidos mientras automatiza tareas como la explotación de vulnerabilidades, la ejecución remota de comandos y la recopilación de datos. El implante principal de la botnet, llamado Nosedive, es una variante personalizada del malware Mirai, diseñado para atacar dispositivos con vulnerabilidades conocidas. Estas infecciones permanecen residentes en la memoria, lo que las hace difíciles de detectar y más resistentes a las defensas tradicionales. Los operadores de Raptor Train administran su red mediante un enfoque de varios niveles: los dispositivos de nivel 1 son hardware de nivel de consumidor, mientras que los nodos de nivel 2 y nivel 3 consisten en servidores dedicados que supervisan la distribución de la carga útil, la gestión de exploits y la ejecución de comandos de botnet. Los operadores utilizan más de 20 tipos de dispositivos diferentes para expandir su botnet, aprovechando los días cero y las vulnerabilidades conocidas. Los dispositivos afectados son productos de fabricantes conocidos como TP-Link, ASUS, DrayTek, Zyxel, Hikvision y Synology. El gran grupo de dispositivos en constante cambio garantiza que la botnet siga siendo robusta incluso sin un mecanismo de persistencia, ya que los dispositivos comprometidos suelen permanecer activos durante un promedio de 17 días antes de ser reemplazados por otros nuevos. Se ha observado que los operadores de Raptor Train, probablemente con sede en China, administran nodos de nivel 2 a través de conexiones Secure Shell durante el horario laboral chino. Estas conexiones, facilitadas por los nodos de administración de Sparrow, permiten a los actores de amenazas recopilar datos de bots, emitir comandos y explotar vulnerabilidades. Los nodos de nivel 3, con sede en Hong Kong y China continental, proporcionan una estructura de comando consistente, y los operadores interactúan con su red las 24 horas del día mediante una interfaz de control avanzada denominada Node Comprehensive Control Tool v1.0.7. Aunque no se ha confirmado ningún ataque de denegación de servicio distribuido de Raptor Train, Black Lotus Labs advierte que es probable que esta capacidad siga estando disponible para los operadores de la botnet. Con su capacidad para escalar ataques DDoS y explotar vulnerabilidades en una gran cantidad de dispositivos, Raptor Train podría ser una herramienta formidable para operaciones disruptivas en el futuro, dijo Black Lotus Labs. Los investigadores encontraron Raptor Train a través de su monitoreo de actividad maliciosa a mediados de 2023, lo que llevó a una investigación más profunda sobre la infraestructura de la botnet. Desde entonces, la empresa ha tomado medidas para neutralizar partes de la botnet, incluido el tráfico de enrutamiento nulo asociado con servidores C2 conocidos y puntos de distribución de carga útil. Lumen Technologies también compartió inteligencia con agencias del gobierno de EE. UU. para reforzar las defensas contra esta botnet. URL de la publicación original: https://www.databreachtoday.com/raptor-train-botnet-infects-260000-devices-globally-a-26327