FBIとサイバーセキュリティ研究者は、米国および他国の重要インフラを標的に26万台以上のネットワーキングデバイスを感染させた中国製の巨大ボットネット「Raptor Train」を破壊した。
このボットネットは、主に米国と台湾の軍事、政府、高等教育、電気通信、防衛産業基盤(DIB)、IT分野の事業体を標的として使用されてきた。
Raptor Trainは4年の間に、数十台のサーバーと、ルーターやモデム、NVRやDVR、IPカメラ、ネットワーク・アタッチド・ストレージ(NAS)サーバーといった多数の感染したSOHOおよびコンシューマー・デバイスを処理するエンタープライズ・グレードの制御システムを備えた、複雑な多層ネットワークに成長しました。
多層型ボットネット
Raptor Trainは2020年5月に開始され、昨年、Lumen Technologiesの脅威リサーチおよびオペレーション部門であるBlack Lotus Labsの研究者が侵害されたルーターを調査している際に発見されるまで、水面下で活動を続けていたようだ。
主なペイロードは分散型サービス拒否(DDoS)攻撃用のマルウェア「Mirai」の亜種で、研究者らはこれを「Nosedive」と呼んでいるが、このボットネットがそのような攻撃を展開している様子は確認されていない。
研究者らは本日発表したレポートの中で、Raptor Train内の3つの活動層について説明しており、それぞれが特定のオペレーション、例えばタスクの送信、エクスプロイトやペイロードサーバーの管理、コマンド・アンド・コントロール(C2)システムなどに対応している。
ボットネット内のアクティブな侵害デバイスの数は変動しますが、研究者は2020年5月の開始以来、20万台以上のシステムがRaptor Trainに感染しており、昨年6月のピーク時には6万台以上のデバイスを制御していたと考えています。
現時点では、Black Lotus Labsは、8月以降、数千台の変動はあるものの、ほぼ同数のアクティブな感染デバイスを追跡しています。
FBIは本日、同じボットネットに関する警告の中で、Raptor Trainが26万台以上のデバイスに感染していると指摘している。
今月初めに開催されたアスペン・サイバー・サミットで、FBI長官のクリストファー・レイは、Flax Typhoonは中国政府の指示によって動作していたと述べました。
この脅威を除去するため、FBIは裁判所公認の作戦を実行し、ボットネットのインフラを掌握することに成功した。これに対してFlax Typhoonは、感染したデバイスを新しいサーバーに移行させようとし、私たちに対してDDOS攻撃まで行いました。
「最終的に、この作戦の一環として、我々は何千台もの感染したデバイスを特定することができました。そして、裁判所の許可を得て、それらのデバイスからマルウェアを削除するコマンドを発行し、それらを中国の支配から引き離すことができました」 – クリストファー・レイ氏
アップストリームの管理サーバー(Tier 3)から取得したMySQLデータベースで、FBIは今年6月、侵害されたデバイス(アクティブおよび過去に侵害されたもの)のレコードが120万件以上あり、米国内のユニークなシステムが38万5,000件あることを発見した。
FBIはまた、このボットネットをFlax Typhoon国家支援ハッカーと結びつけ、Raptor Trainの制御はChina Unicom Beijing Province NetworkのIPアドレスを使用した中国企業Integrity Technology Group(Integrity Tech)を通じて行われたとしている。
60以上のC2と彼らが管理するボットを処理できるアーキテクチャを持つRaptor Trainは、キャンペーンに従事しているとき、通常数万台のアクティブなTier 1デバイスを持っています:
モデム/ルーター | |
ActionTec PK5000 | ASUS RT-*/GT-*/ZenWifi |
TP-LINK | DrayTek Vigor |
テンダワイヤレス | 瑞傑 |
ザイセルUSG | ラッカスワイヤレス |
VNPT iGate | マイクロティック |
TOTOLINK | |
IPカメラ | |
D-LINK DCS | ヒクビジョン |
モボティックス | NUUO |
アクシス | パナソニック |
NVR/DVR | 深センTVT NVR/DVR |
NASデバイス | |
QNAP(TSシリーズ) | 富士通 |
シノロジー | Zyxel |
研究者によると、Raptor Trainのオペレータは、「0日およびn日の(既知の)脆弱性を持つ20種類以上のデバイスを悪用」することで、Tier 1の可能性が高いデバイスを追加している。
Nosedive ペイロードには永続化メカニズムがないため、これらのデバイスは約17日間ボットネットに留まり、オペレーターは必要に応じて新しいデバイスを採用します。
ティア2ネットワークは、ティア1デバイスのコマンド&コントロール、エクスプロイト、ペイロードサーバー用です。
Black Lotus Labsは、第1段階のペイロードサーバーと第2段階のペイロードサーバーを区別しており、前者はより一般的なペイロードを提供し、後者は特定のデバイスタイプに対してより標的を絞った攻撃を行います。
研究者は、これは攻撃で使用されるゼロデイ脆弱性をよりうまく隠すための努力の一部かもしれないと考えている。
Raptor Trainは時間とともにC2サーバーの数を増やし、2020年から2022年にかけては最大5台、昨年は11台、そして今年の6月から8月にかけては60台以上となっている。
ボットネット全体の管理は、コマンドを送信し、ボット情報やログなどのデータを収集するTier 3システム(攻撃者はSparrowノードと呼ぶ)からSSHまたはTLSを介して手動で行われる。
操作を容易にするため、Raptor TrainのSparrowノードはウェブインターフェース(Javascriptフロントエンド)、バックエンド、ペイロードやエクスプロイトを生成するための補助機能を提供しています。
Raptor Trainキャンペーン
Black Lotus Labsは2020年以降、4つのRaptor Trainキャンペーンを追跡し、攻撃に使用された数十のTier 2およびTier 3のドメインとIPアドレスを発見しました。
2023年5月以降、研究者がCanarayと呼ぶキャンペーンでは、ボットネットのオペレータはよりターゲットを絞ったアプローチを見せ、Raptor TrainにActionTec PK5000モデム、Hikvision IPカメラ、Shenzhen TVT NVR、ASUS RT-およびGT-ルーターを追加しました。
Canaryキャンペーン期間中の約2ヶ月間、1台のTier 2セカンドステージサーバーが少なくとも16,000台のデバイスに感染しました。
研究者が観測した4回目の勧誘活動(Orioleキャンペーン)は、2023年6月に開始され、今年9月まで続きました。先月、ボットネットはティア1で少なくとも30,000台のデバイスに感染していた。
研究者によると、Orioleキャンペーンで使用されたC2ドメインw8510[.]comは、「侵害されたIoTデバイスの間で非常に目立つようになり、2024年6月3日までにCisco Umbrellaのドメインランキングに含まれるようになりました」。
「このような人気リストに入っているドメインは、しばしばドメインのホワイトリスト化によってセキュリティツールを回避し、アクセスを拡大・維持し、さらに検知を回避することを可能にしているため、これは懸念すべき偉業である」 – Black Lotus Labs
研究者によると、このボットネットは昨年12月、米軍、米政府、ITプロバイダー、防衛産業基地を標的としたスキャン活動に使用された。
しかし、Raptor Trainはカザフスタンの政府機関も標的にしていたことから、標的を絞った活動はグローバルに行われているようです。
さらに、Black Lotus Labsは、このボットネットが同じ活動部門の組織におけるAtlassian ConfluenceサーバーとIvanti Connect Secureアプライアンス(おそらくCVE-2024-21887経由)に対する悪用の試みにも関与していたと指摘しています。
現在、Black Lotus Labsは “分散ボットネット管理、C2、ペイロード、エクスプロイトインフラを含む “既知のインフラポイントへのトラフィックを無効化しているため、Raptor Trainボットネットは少なくとも部分的に中断されています。
中国国家ハッカーとの関連
調査中に発見された指標によると、Black Lotus Labsは、Raptor Trainの運営者は、国家に支援された中国のハッカー、特にFlax Typhoonグループである可能性が高いと中~高信頼度で評価しています。
この説を裏付けるのは、中国の関心に沿ったターゲットの選択だけでなく、コードベースやインフラで使用されている言語、様々な戦術、技術、手順の重複です。
研究者たちは、SSHを介したティア3の管理ノードからティア2のシステムへの接続が、中国の通常の勤務時間中に「ほぼ独占的に」行われていることに気づいた。
さらに、コードベース内の機能やインターフェースのメニュー、コメント、リファレンスの記述は中国語だった。
洗練されたボットネットであるにもかかわらず、Raptor Trainから保護するためにユーザーやネットワーク防御者が取ることのできる対策があります。例えば、ネットワーク管理者は、宛先IPが同じ地域のものであったとしても、大規模な送信データ転送が行われていないかチェックする必要がある。
消費者は、ルーターを定期的に再起動し、ベンダーが提供する最新のアップデートをインストールすることが推奨される。また、サポートが終了し、アップデートが提供されなくなった機器(エンド・オブ・ライフ・システム)は交換すべきである。
Comments