Clicky

El FBI desmantela una enorme red de bots llamada 'Raptor Train'

botnet Raptor Train

La botnet de IoT ha comprometido más de 200.000 dispositivos en todo el mundo

Investigadores de ciberseguridad han descubierto una red de bots nunca antes vista que comprende un ejército de dispositivos de pequeñas oficinas/oficinas en el hogar (SOHO) e IoT que probablemente son operados por un actor de amenazas de un estado nacional chino llamado Flax Typhoon (también conocido como Ethereal Panda o RedJuliett).

Se cree que la sofisticada botnet, bautizada Raptor Train por Black Lotus Labs de Lumen, está operativa al menos desde mayo de 2020 y alcanzó un pico de 60.000 dispositivos activamente comprometidos en junio de 2023.

"Desde entonces, ha habido más de 200.000 routers SOHO, dispositivos NVR/DVR, servidores de almacenamiento conectados a red (NAS) y cámaras IP; todos fueron reclutados en la botnet Raptor Train, lo que la convierte en u"Todos fueron reclutados en la botnet Raptor Train, lo que la convierte en una de las botnets de IoT patrocinadas por el estado chino más grandes descubiertas hasta la fecha", dijo la compañía de ciberseguridad en un informe de 81 páginas compartido con The Hacker News.", dijo la compañía de ciberseguridad en un informe de 81 páginas.

Se estima que desde su formación la infraestructura que alimenta la botnet ha atrapado a cientos de miles de dispositivos, y la red está impulsada por una arquitectura de tres niveles que consta de lo siguiente:

• Nivel 1: dispositivos SOHO/IoT comprometidos
• Nivel 2: servidores de explotación, servidores de carga útil y servidores de comando y control (C2)
• Nivel 3: nodos de administración centralizada y una interfaz de aplicación Electron multiplataforma denominada Sparrow (también conocida como herramienta de control integral de nodos o NCCT)

La forma en que funciona es que las tareas de los bots se inician desde los nodos de administración de nivel 3 "Sparrow", que luego se enrutan a través de los servidores C2 de nivel 2 apropiados y posteriormente se envían a los propios bots en el nivel 1, que constituye una gran parte de la botnet.

niveles de la botnet Raptor Train

Algunos de los dispositivos atacados incluyen routers, cámaras IP, DVR y NAS de varios fabricantes como ActionTec, ASUS, DrayTek, Fujitsu, Hikvision, Mikrotik, Mobotix, Panasonic, QNAP, Ruckus Wireless, Shenzhen TVT, Synology, Tenda, TOTOLINK, TP-LINK y Zyxel.

La mayoría de los nodos de nivel 1 se han geolocalizado en EE. UU., Taiwán, Vietnam, Brasil, Hong Kong y Turquía. Cada uno de estos nodos tiene una vida útil promedio de 17,44 días, lo que indica la capacidad del actor de amenazas para reinfectar los dispositivos a voluntad.

"En la mayoría de los casos, los operadores no incorporaron un mecanismo de persistencia que sobreviva a un reinicio", señaló Lumen.

"La confianza en la reexplotabilidad proviene de la combinación de una amplia gama de exploits disponibles para una amplia gama de dispositivos SOHO e IoT vulnerables y una enorme cantidad de dispositivos vulnerables en Internet, lo que le otorga a Raptor Train una especie de persistencia 'inherente'".

El FBI desmantela una enorme red de bots llamada Raptor Train

El Departamento de Justicia de Estados Unidos (DoJ) anunció el miércoles el desmantelamiento de la botnet Raptor Train, en cumplimiento de una operación de aplicación de la ley autorizada por un tribunal. También atribuyó la amenaza Flax Typhoon a una empresa con sede en Pekín que cotiza en bolsa conocida como Integrity Technology Group.

"El malware conectó estos miles de dispositivos infectados a una botnet, controlada por Integrity Technology Group, que se utilizó para realizar actividades cibernéticas maliciosas disfrazadas de tráfico rutinario de Internet desde los dispositivos de consumidores infectados", dijo el Departamento de Justicia.

La operación permitió que los atacantes incautaran la infraestructura para emitir comandos de desactivación del malware en los dispositivos infectados, a pesar de los infructuosos esfuerzos realizados por los actores de la amenaza para interferir con la acción de remediación a través de un ataque DDoS dirigido a los servidores que la Oficina Federal de Investigaciones (FBI) estaba utilizando para ejecutar la orden judicial.

"La empresa creó una aplicación en línea que permitía a sus clientes iniciar sesión y controlar dispositivos infectados específicos, incluido un menú de comandos cibernéticos maliciosos mediante una herramienta llamada 'vulnerability-arsenal'", dijo el Departamento de Justicia. "La aplicación en línea tenía la etiqueta 'KRLab', una de las principales marcas públicas utilizadas por Integrity Technology Group".

La botnet estaba compuesta por más de 260.000 dispositivos en junio de 2024, con víctimas repartidas por América del Norte (135.300), Europa (65.600), Asia (50.400), África (9.200), Oceanía (2.400) y América del Sur (800) [PDF].

En total, se han identificado más de 1,2 millones de registros de dispositivos comprometidos en una base de datos MySQL alojada en un servidor de gestión Tier 3 que se utiliza para administrar y controlar la botnet y los servidores C2 mediante la aplicación Sparrow. Sparrow también contiene un módulo para explotar redes informáticas a través de un arsenal de fallos conocidos y de día cero.

Las redes de bots como KV-Botnet y Raptor Train son servidores proxy ideales, ya que los actores de amenazas pueden utilizarlas de forma abusiva para ocultar sus identidades mientras organizan ataques DDoS o comprometen redes específicas. También tienden a evadir las defensas de seguridad de la red, dado que la actividad maliciosa se origina en direcciones IP con buena reputación.

"El gobierno chino seguirá atacando a sus organizaciones y a nuestra infraestructura crítica, ya sea por mano propia o de forma oculta a través de sus representantes", dijo el director del FBI, Christopher Wray , y denunció a Integrity Technology Group por llevar a cabo tareas de recopilación de inteligencia y reconocimiento para las agencias de seguridad del gobierno chino.

Jesus_Caceres