Pesquisadores de segurança cibernética descobriram uma botnet nunca antes vista, composta por um exército de pequenos escritórios/escritórios domésticos (SOHO) e dispositivos de IoT que provavelmente são operados por um agente de ameaça estatal chinês chamado Flax Hurricane (também conhecido como Ethereal Panda ou RedJuliett).
A sofisticada botnet, apelidada de Trem Raptor pelo Black Lotus Labs da Lumen, acredita-se que esteja operacional desde pelo menos maio de 2020, atingindo um pico de 60.000 dispositivos ativamente comprometidos em junho de 2023.
“Desde então, houve mais de 200.000 roteadores SOHO, dispositivos NVR/DVR, servidores de armazenamento conectado à rede (NAS) e câmeras IP; todos recrutados para a botnet Raptor Practice, tornando-a uma das maiores botnets de IoT patrocinadas pelo estado chinês descobertas até hoje”, disse a empresa de segurança cibernética em um relatório de 81 páginas compartilhado com o The Hacker Information.
Estima-se que a infraestrutura que alimenta a botnet tenha capturado centenas de milhares de dispositivos desde sua formação, com a rede alimentada por uma arquitetura de três camadas que consiste no seguinte:
- Nível 1: Dispositivos SOHO/IoT comprometidos
- Nível 2: servidores de exploração, servidores de carga útil e servidores de comando e controle (C2)
- Nível 3: nós de gerenciamento centralizados e um front-end de aplicativo Electron multiplataforma denominado Sparrow (também conhecido como Node Complete Management Software ou NCCT)
O funcionamento é que as tarefas do bot são iniciadas a partir dos nós de gerenciamento “Sparrow” de Nível 3, que são então roteadas pelos servidores C2 de Nível 2 apropriados e, posteriormente, enviadas aos próprios bots no Nível 1, o que compõe uma grande parte da botnet.
Alguns dos dispositivos visados incluem roteadores, câmeras IP, DVRs e NAS de vários fabricantes, como ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wi-fi, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK e Zyxel.
A maioria dos nós de Nível 1 foi geolocalizada nos EUA, Taiwan, Vietnã, Brasil, Hong Kong e Turquia. Cada um desses nós tem uma vida útil média de 17,44 dias, indicando a capacidade do agente de ameaça de reinfectar os dispositivos à vontade.
“Na maioria dos casos, os operadores não criaram um mecanismo de persistência que sobreviva a uma reinicialização”, observou Lumen.
“A confiança na reexplorabilidade vem da combinação de uma vasta gama de exploits disponíveis para uma ampla gama de dispositivos SOHO e IoT vulneráveis e um número enorme de dispositivos vulneráveis na Web, dando ao Raptor Practice uma espécie de persistência 'inerente'.”
Os nós são infectados por um implante na memória rastreado como Nosedive, uma variante personalizada do botnet Mirai, por meio de servidores de payload Tier 2 explicitamente configurados para esse propósito. O binário ELF vem com capacidades para executar comandos, carregar e baixar arquivos e montar ataques DDoS.
Os nós de nível 2, por outro lado, são rotacionados a cada 75 dias e são baseados principalmente nos EUA, Cingapura, Reino Unido, Japão e Coreia do Sul. O número de nós C2 aumentou de aproximadamente 1-5 entre 2020 e 2022 para nada menos que 60 entre junho de 2024 e agosto de 2024.
Esses nós são flexíveis, pois também atuam como servidores de exploração para cooptar novos dispositivos para a botnet, servidores de carga útil e até mesmo facilitar o reconhecimento de entidades visadas.
Pelo menos quatro campanhas diferentes foram vinculadas à botnet Raptor Practice em constante evolução desde meados de 2020, cada uma delas diferenciada pelos domínios raiz usados e pelos dispositivos visados -
- Crossbill (de maio de 2020 a abril de 2022) – uso do domínio raiz C2 k3121.com e subdomínios associados
- Finch (de julho de 2022 a junho de 2023) – uso do domínio raiz C2 b2047.com e subdomínios C2 associados
- Canary (de maio de 2023 a agosto de 2023) – uso do domínio raiz C2 b2047.com e subdomínios C2 associados, enquanto depende de droppers multiestágios
- Oriole (de junho de 2023 a setembro de 2024) – uso do domínio raiz C2 w8510.com e subdomínios C2 associados
A campanha Canary, que teve como alvo principal modems ActionTec PK5000, câmeras IP Hikvision, NVRs Shenzhen TVT e roteadores ASUS, é notável por empregar uma cadeia de infecção multicamadas própria para baixar um script bash de primeiro estágio, que se conecta a um servidor de carga útil de Nível 2 para recuperar o Nosedive e um script bash de segundo estágio.
O novo script bash, por sua vez, tenta baixar e executar um script bash de terceiro estágio do servidor de carga a cada 60 minutos.
“Na verdade, o domínio C2 w8510.com para a campanha (Oriole) se tornou tão proeminente entre os dispositivos IoT comprometidos que, em 3 de junho de 2024, foi incluído no rating de domínios do Cisco Umbrella”, disse Lumen.
“Pelo menos até 7 de agosto de 2024, ele também foi incluído no high 1 milhão de domínios do Cloudflare Radar. Este é um feito preocupante porque os domínios que estão nessas listas de popularidade frequentemente contornam as ferramentas de segurança por meio da lista de permissões de domínio, permitindo que eles cresçam e mantenham o acesso e evitem ainda mais a detecção.”
Nenhum ataque DDoS proveniente da botnet foi detectado até o momento, embora evidências mostrem que ela foi usada como arma para atingir entidades dos EUA e de Taiwan nos setores militar, governamental, de ensino superior, de telecomunicações, de base industrial de defesa (DIB) e de tecnologia da informação (TI).
Além disso, os bots envolvidos no Raptor Practice provavelmente realizaram possíveis tentativas de exploração contra servidores Atlassian Confluence e dispositivos Ivanti Join Safe (ICS) nos mesmos setores, sugerindo esforços generalizados de varredura.
Os hyperlinks para o Flax Hurricane – uma equipe de hackers com histórico de atacar entidades em Taiwan, Sudeste Asiático, América do Norte e África – decorrem de sobreposições na pegada de vitimização, uso da língua chinesa e outras semelhanças táticas.
“Este é um sistema de controle robusto e de nível empresarial usado para gerenciar mais de 60 servidores C2 e seus nós infectados a qualquer momento”, disse Lumen.
“Este serviço permite um conjunto completo de atividades, incluindo exploração escalável de bots, gerenciamento de vulnerabilidades e explorações, gerenciamento remoto de infraestrutura C2, uploads e downloads de arquivos, execução remota de comandos e a capacidade de personalizar ataques de negação de serviço distribuído (DDoS) baseados em IoT em escala.”
