L'FBI smantella una botnet cinese rimasta nascosta per 4 anni. Dispositivi compromessi anche in Italia
Quattro anni di operazioni passate sotto i radar: l'FBI ha scoperto e smantellato una botnet operata da un gruppo hacker cinese, che nel corso di questi anni è arrivata a controllare un picco di 60 mila dispositivi connessi contemporaneamente
di Andrea Bai pubblicata il 19 Settembre 2024, alle 17:00 nel canale SicurezzaUna vasta operazione congiunta dell'FBI e di ricercatori di sicurezza informatica ha portato allo smantellamento di una sofisticata botnet cinese denominata "Raptor Train" che ha infettato centinaia di migliaia di dispositivi connessi e progettata per colpire infrastrutture critiche (principalmente nei settori militare, governativo, dell'istruzione superiore, delle telecomunicazioni, della difesa e IT) negli Stati Uniti e in altri paesi.
La botnet è entrata in funzione a maggio del 2020, ma le sue operazioni sono passate sotto traccia fino all'anno scorso, quando i ricercatori di Black Lotus Labs, la divisione di Lumen Technologies dedicata alla ricerca sulle minacce informatiche, l'hanno scoperta durante le indagini su router compromessi.
In questo lasso di tempo la botnet si è evoluta in una rete complessa e multi-livello, dotata di un sofisticato sistema di controllo pari a quello di una vera e propria azienda, per la gestione di decine di server e un vasto numero di dispositivi infetti. Questi ultimi, in particolare, sono dispositivi connessi domestici o per piccoli uffici: si parla quindi di router, modem, sistemi di videosorveglianza, NAS e via discorrendo.
The #FBI, @US_CYBERCOM, @NSAgov and other partners have released a joint #CybersecurityAdvisory to warn about a PRC-linked botnet, consisting of hundreds of thousands of compromised devices, which threatens US networks. Click for details and mitigations: https://t.co/idpk1P73Fu pic.twitter.com/io1Qm7G2dw
— FBI (@FBI) September 19, 2024
La dimensione della botnet ha subito variazioni in questo arco temporale: i ricercatori hanno stimato che oltre 200.000 sistemi siano stati infettati dall'inizio delle operazioni, con un picco di oltre 60.000 dispositivi controllati simultaneamente nel giugno dello scorso anno. I dispositivi vengono compromessi tramite il payload "Nosedive", che è una variante del malware Mirai, e che ha la possibilità di lanciare attacchi DDoS anche se questa funzionalità non è stata utilizzata "in natura".
La botnet Raptor Train è risultata essere strutturata su tre livelli: il primo composto dai dispositivi compromessi di cui sopra, il secondo livello da una rete di server per lo sfruttamento di vulnerabilità e distribuzione dei payload e i sistemi di comando e controllo e il terzo livello costituito da sistemi di gestione dell'intera botnet, provvisto inoltre di strumenti di log.
Fonte: Black Lotus Labs
L'architettura di Raptor Train è stata progettata per gestire oltre 60 server C2 e i bot ad essi collegati. Le analisi sul funzionamento della botnet hanno permesso di capire che il modus operandi tipico prevede il mantenimento di decine di migliaia di dispositivi di primo livello durante le campagne. Nuovi dispositivi sono aggiunti sfruttando sia vulnerabilità note sia falle 0-day per recapitare Nosedive.
In maniera abbastanza insolita, Nosedive non è provvisto di un sistema di persistenza sul dispositivo compromesso, il che significa che cessa le sue operazioni al riavvio del dispositivo o in seguito ad un aggiornamento. Mediamente i dispositivi compromessi sono rimasti all'interno della botnet per 17 giorni circa, e gli operatori semplicemente si occupano di "assoldare" nuovi dispositivi all'occorrenza.
Il secondo livello di Raptor Train è dedicato ai server di comando e controllo, sfruttamento e distribuzione di payload per i dispositivi del primo livello. I ricercatori di Black Lotus Labs hanno riscontrato l'esistenza server di payload di prima e seconda fase, con i primi che forniscono un payload più generico e i secondi impegnati in attacchi più mirati su tipi di dispositivi specifici. I ricercatori ipotizzano che alla base di questa strategia vi potrebbe essere la volontà di occultare le vulnerabilità zero-day utilizzate negli attacchi, così da continuare a mantenerle ignote. Il numero di server C2 della botnet è cresciuto in questi quattro anni: dai 5 usati nel biennio 2020-2022, fino a 11 lo scorso anno, per diventare oltre 60 tra giugno e agosto dell'anno in corso.
I sistemi di terzo livello, chiamati "nodi Sparrow" dagli attaccanti, sono utilizzati per gestire la botnet tramite connessioni SSH o TLS e mettono a disposizione un'interfaccia web con front-end Javascript, back-end e funzioni ausiliarie per generare payload ed exploit.
La campagna più recente condotta con la botnet Raptor Train, e monitorata anche dai ricercatori di Black Lotus Labs, è stata denominata "Oriole" e ha preso il via a giugno 2023, protraendosi fino a poche settimane con un esercito di 30 mila dispositivi di primo livello. La campagna Oriole ha inoltre evidenziato l'inclusione del dominio C2 w8510[.]com nall'interno delle classifiche dei domini più popolari di Cisco Umbrella e tra il primo milione di domini di Cloudflare Radar. Ciò potrebbe consentire al dominio di riuscire ad aggirare alcuni strumenti di sicurezza basati su whitelist, permettendo a Raptor Train di schivare il rilevamento e continuare ad assoldare nuovi dispositivi tra le sue fila.
Le attività di Raptor Train non si sono limitate al reclutamento di dispositivi: a dicembre 2023 la botnet è stata utilizzata per operazioni di scansione mirate contro l'esercito statunitense, alcune agenzie governative, fornitori di servizi IT e basi della difesa. Secondo i ricercatori però gli obiettivi di Raptor Train sembrano essere di livello globale, anche alla luce di alcuni attacchi documentati contro un'agenzia governativa in Kazakistan.
Come dicevamo, l'operazione ha visto la collaborazione di ricercatori di sicurezza informatica e delle autorità federali statunitensi: queste ultime hanno svolto un ruolo chiave per lo smantellamento di Raptor Train, agendo su mandato giudiziario per riuscire ad ottenere il controllo dell'infrastruttura della botnet. Durante le indagini, le autorità hanno attribuito l'operatività e la gestione di Raptor Train al gruppo hacker Flax Typhoon, affiliato al governo cinese. Durante le operazioni condotte dalle autorità federali, il gruppo hacker ha cercato di migrare gli strumenti di controllo verso nuovi server, e ha inoltre lanciato un attacco DDoS contro le reti dell'FBI. Anche gli elementi raccolti dai ricercatori di Black Louts Labs sembrano convergere con l'attribuzione fatta dall'FBI per il gruppo Flax Typhoon.
Le forze dell'ordine sono riuscite ad analizzare un database MySQL presente in uno dei sistemi del terzo livello della struttura della botnet, ottenendo importanti informazioni sulla distribuzione geografica dei dispositivi che sono stati compromessi e assoldati nella botnet: circa 4000 di essi si trovano nel nostro Paese.
15 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoSembra sia una societa israeliana di copertura aperta in europa per non destare sospetti. Comunque sono stati dei fighi pazzeschi, hanno fatto una cosa che si é vista fin’ora nei film di hollywood, hanno scritto un nuovo capitolo dell’arte della guerra.
Ke figata, fortuna ke stiamo qua seduti comodi comodi a leggere le news e a goderci il film
Una azione terroristica, secondo te, è una figata?
Ieri, alla radio, parlavano anche di moltissimi feriti fra i civili, addirittura della morte di una bambina la cui unica colpa è stata quella di passare accanto al bersaglio dell'attentato
Ieri, alla radio, parlavano anche di moltissimi feriti fra i civili, addirittura della morte di una bambina la cui unica colpa è stata quella di passare accanto al bersaglio dell'attentato
Si tecnicamente é stata una cosa spettacolare, purtroppo ci sono andati di mezzo dei civili. Vogliamo paragonare un buzzurro che guida un camion a tutta velocità nella promenade di Nizza a dei tizi che hackerano dei cercapersone e li fanno esplodere? Dai...
non scherziamo, questi hanno fatto una cosa agghiacciante, che resterà nei libri di storia, portando la guerra nel "supermercato".
Un attacco alla supply chain di questo livello, con società fittizie create ad arte, backdoor negli scanner aeroportuali (che loro stessi producono per mezzo mondo) in modo che non segnalassero l'esplosivo, ecc.. vuol dire che ormai non ci possiamo più fidare neanche del microonde comprato a Mediaworld.
Per me è un punto di non ritorno, altro che figata.
Ci sono moltissimi Stati non allineati a cominciare dai BRICS ma anche molti stati africani, molti stati del nord africa, del medio oriente, del sud dell'Asia, del sud America. Tutti questi stati potrebbero acquistare tecnologia europea e trovarsi domani con conflitti con gli americo-israelo-britanni-europei e quindi avere nei propri gangli una potenziale bomba pronta ad esplodere su comando.
Questo porta a una politica tecnologica difensiva che danneggia prima di tutto gli Stati sotto il dominio USA come l'Europa.
Ci sono moltissimi Stati non allineati a cominciare dai BRICS ma anche molti stati africani, molti stati del nord africa, del medio oriente, del sud dell'Asia, del sud America. Tutti questi stati potrebbero acquistare tecnologia europea e trovarsi domani con conflitti con gli americo-israelo-britanni-europei e quindi avere nei propri gangli una potenziale bomba pronta ad esplodere su comando.
Questo porta a una politica tecnologica difensiva che danneggia prima di tutto gli Stati sotto il dominio USA come l'Europa.
Ma é gia cosi, secondo te sennó perche questi utilizzavano tecnologia anni 80??? Le tesla che non possono entrare nelle basi in cina? Nemmeno se é di proprieta del generale che lavora lí dentro? I complottonovax griderebbero un: sveglia!
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".