Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

IoT-ботнет Raptor Train атаковал 200 000 устройств

19/09/24

hack215

Исследователи в области кибербезопасности обнаружили новый ботнет, созданный с использованием устройств для малых офисов и домашних сетей (SOHO), а также IoT-устройств. Этот ботнет, по предположениям, управляется китайской хакерской группировкой Flax Typhoon, также известной как Ethereal Panda или RedJuliett, передаёт Securitylab.

Под названием Raptor Train, этот ботнет действует с мая 2020 года и достиг пика в июне 2023 года, когда в его сети находилось около 60 000 взломанных устройств. По данным компании Black Lotus Labs, за это время было зафиксировано более 200 000 устройств, включая маршрутизаторы, IP-камеры и сетевые хранилища данных, которые стали частью ботнета. Это делает Raptor Train одним из крупнейших китайских ботнетов, основанных на IoT-устройствах.

Инфраструктура ботнета построена на трёхуровневой архитектуре: первый уровень состоит из взломанных устройств SOHO/IoT, второй — из серверов для эксплуатации и управления, третий — из центральных узлов, использующих инструмент под названием Sparrow. Через него ботнет может управлять своими узлами, распространяя команды на устройства первого уровня.

Среди атакованных девайсов оказались продукты известных производителей, таких как ASUS, DrayTek, Hikvision, TP-LINK и Synology. Основная часть взломанных устройств расположена в США, Тайване, Вьетнаме и Бразилии, и их средний срок жизни в ботнете составляет около 17 дней.

В большинстве случаев злоумышленники не используют механизмы, сохраняющиеся после перезагрузки устройства, полагаясь на возможность повторного взлома. Это обусловлено наличием множества уязвимостей и огромным количеством доступного в сети слабозащищённого оборудования.

Основой для распространения Raptor Train стал вредоносный код под названием Nosedive, являющийся модификацией известного ботнета Mirai. Этот код позволяет хакерам выполнять команды, передавать файлы и организовывать атаки типа DDoS.

Серверы второго уровня, которые обеспечивают управление ботнетом, меняются каждые 75 дней и размещены в странах, таких как США, Великобритания и Южная Корея. За последние два года число этих серверов увеличилось с нескольких единиц до 60.

С момента создания ботнета было проведено несколько операций по его развитию. Например, кампания Canary (с мая по август 2023 года) активно использовала уязвимости в устройствах ActionTec и ASUS, применяя сложные цепочки заражений для внедрения вредоносного кода.

Отличительной чертой последней зловредной операции под названием Oriole стала массовая популярность домена, использованного для управления ботнетом. К июню 2024 года этот домен вошёл в рейтинги надёжных сайтов Cisco Umbrella и Cloudflare Radar, что позволило ему обходить системы безопасности через белые списки.

Темы:Интернет вещей (IoT)ПреступленияботнетBlack Lotus Labs
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025
Статьи по темеСтатьи по теме

  • IoT – не безопасно, но управляемо?
    Владимир Потапов, Ведущий консультант по информационной безопасности IBM в России и странах СНГ
    Качественная инвентаризация позволяет быстрее перейти к количественной оценке рисков и угроз
  • Риски кибербезопасности для подключенных автомобилей
    Михаил Кондрашин, технический директор компании Trend Micro в России и СНГ
    Во всех 29 исследованных векторах общий риск успешности кибератак был оценен как средний
  • Межсетевой экран UserGate X1 для защиты АСУ ТП и IIoT
    Иван Чернов, Менеджер партнерского отдела UserGate
    Комплексное решение для защиты промышленных объектов от атак
  • Методы обеспечения ИБ для промышленных IoT-систем
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В последние годы наблюдается тенденция роста использования Интернета вещей в промышленном сегменте
  • Интерактивный цифровой двойник
    Александр Московченко, Директор по развитию компании Winnum
    Суть его заключается в создании максимально точной цифровой версии физического объекта для дальнейшего анализа и диагностики
  • Безопасность сетей 5G
    Александр Зубарев, Директор по информационной безопасности ООО “Техкомпания Хуавэй"
    Основные особенности архитектуры сетей 5G и связанные с ними проблемы безопасности.

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...