Le FBI et les chercheurs en cybersécurité ont perturbé un énorme botnet chinois appelé « Raptor Train » qui a infecté plus de 260 000 périphériques réseau pour cibler des infrastructures critiques aux États-Unis et dans d’autres pays.
Le botnet a été utilisé pour cibler des entités des secteurs de l’armée, du gouvernement, de l’enseignement supérieur, des télécommunications, de la base industrielle de défense (DIB) et de l’informatique, principalement aux États-Unis et à Taiwan.
En quatre ans, Raptor Train est devenu un réseau complexe à plusieurs niveaux doté d’un système de contrôle de niveau entreprise pour gérer des dizaines de serveurs et un grand nombre d’appareils SOHO et grand public infectés: routeurs et modems, NVR et DVR, caméras IP et serveurs de stockage en réseau (NAS).
Botnet à plusieurs niveaux
Le train Raptor a commencé en mai 2020 et semble être resté sous le radar jusqu’à l’année dernière, lorsqu’il a été découvert par des chercheurs de Black Lotus Labs, la branche de recherche et d’exploitation des menaces de Lumen Technologies, tout en enquêtant sur les routeurs compromis.
Alors que la charge utile principale est une variante du malware Mirai pour les attaques par déni de service distribué (DDoS), que les chercheurs appellent Nosedive, le botnet n’a pas été vu déployer de telles attaques.
Dans un rapport publié aujourd’hui, les chercheurs décrivent trois niveaux d’activité au sein de Raptor Train, chacun pour des opérations spécifiques, par exemple l’envoi de tâches, la gestion des serveurs d’exploitation ou de charge utile et les systèmes de commandement et de contrôle (C2).
Le nombre d’appareils compromis actifs dans le botnet fluctue, mais les chercheurs pensent que plus de 200 000 systèmes ont été infectés par Raptor Train depuis son lancement en mai 2020, et qu’il contrôlait plus de 60 000 appareils à son apogée en juin de l’année dernière.
À l’heure actuelle, Black Lotus Labs suit environ le même nombre d’appareils infectés actifs, fluctuant de quelques milliers depuis août.
Dans une alerte aujourd’hui sur le même botnet, le FBI note que Raptor Train a infecté plus de 260 000 appareils.
S’exprimant lors du Cyber Summit d’Aspen plus tôt ce mois-ci, le directeur du FBI, Christopher Wray, a déclaré que le typhon de lin fonctionnait sous la direction du gouvernement chinois.
Pour éliminer la menace, le FBI a exécuté des opérations autorisées par la Cour qui ont conduit à prendre le contrôle de l’infrastructure du botnet. En réponse, Flax Typhoon a tenté de migrer les appareils infectés vers de nouveaux serveurs « et a même mené une attaque DDOS contre nous », a déclaré Wray.
« En fin de compte, dans le cadre de cette opération, nous avons pu identifier des milliers d’appareils infectés, puis, avec l’autorisation du tribunal, émettre des commandes pour en supprimer les logiciels malveillants, les soustrayant à l’emprise de la Chine » – Christopher Wray
Dans une base de données MySQL extraite d’un serveur de gestion en amont (niveau 3), le FBI a découvert qu’en juin de cette année, il y avait plus de 1,2 million d’enregistrements d’appareils compromis (actifs et précédemment compromis), avec 385 000 systèmes uniques aux États-Unis.
Le FBI a également connecté le botnet aux pirates informatiques parrainés par l’État Flax Typhoon, affirmant que le contrôle du train de Rapaces était effectué par l’intermédiaire de la société chinoise Integrity Technology Group (Integrity Tech) en utilisant les adresses IP du réseau de la province de Beijing de China Unicom.
Avec une architecture capable de gérer plus de 60 C2 et les robots qu’ils gèrent, Raptor Train dispose généralement de dizaines de milliers d’appareils de niveau 1 actifs lorsqu’il est engagé dans des campagnes:
| Modems/Routers | |
| ActionTec PK5000 | ASUS RT-*/GT-*/ZenWifi |
| TP-LINK | DrayTek Vigor |
| Tenda Wireless | Ruijie |
| Zyxel USG* | Ruckus Wireless |
| VNPT iGate | Mikrotik |
| TOTOLINK | |
| IP Cameras | |
| D-LINK DCS-* | Hikvision |
| Mobotix | NUUO |
| AXIS | Panasonic |
| NVR/DVR | Shenzhen TVT NVRs/DVRs |
| NAS devices | |
| QNAP (TS Series) | Fujitsu |
| Synology | Zyxel |
Les chercheurs disent que les opérateurs de trains Raptor ajoutent des appareils au niveau 1 probablement en exploitant “l’exploitation de plus de 20 types d’appareils différents avec des vulnérabilités 0-day et n-day (connues).”
Étant donné que les charges utiles en piqué n’ont pas de mécanisme de persistance, ces appareils restent dans le botnet pendant environ 17 jours et les opérateurs en recrutent de nouveaux au besoin.
Le réseau de niveau 2 est destiné aux serveurs de commande et de contrôle, d’exploitation et de charge utile pour les périphériques de niveau 1.
Black Lotus Labs fait la distinction entre les serveurs de charge utile de premier et de deuxième étage, le premier fournissant une charge utile plus générique et le second se livrant à des attaques plus ciblées sur des types d’appareils spécifiques.
Les chercheurs pensent que cela pourrait faire partie d’un effort pour mieux masquer les vulnérabilités zero-day utilisées dans les attaques.
Au fil du temps, Raptor Train a augmenté le nombre de serveurs C2, passant de cinq entre 2020 et 2022, à 11 l’année dernière, et plus de 60 cette année entre juin et août.
La gestion de l’ensemble du botnet se fait manuellement via SSH ou TLS à partir de systèmes de niveau 3 (appelés nœuds Sparrow par l’attaquant), qui envoient des commandes et collectent des données telles que des informations sur les robots et des journaux.
Pour une utilisation plus facile, les nœuds Sparrow de Raptor Train fournissent une interface Web (interface javascript), un backend et des fonctions auxiliaires pour générer des charges utiles et des exploits.
Campagnes de Trains de rapaces
Black Lotus Labs a suivi quatre campagnes de trains de rapaces depuis 2020 et a découvert des dizaines de domaines et d’adresses IP de niveaux 2 et 3 utilisés dans les attaques.
À partir de mai 2023,dans une campagne que les chercheurs appellent Canaray, les opérateurs de botnet ont montré une approche plus ciblée et ont ajouté au train Raptor principalement des modems ActionTec PK5000, des caméras IP Hikvision, des NVR TVT de Shenzhen et des routeurs ASUS RT et GT.
Pendant près de deux mois au cours de la campagne Canary, un serveur de deuxième étape de niveau 2 a infecté au moins 16 000 appareils.
Le quatrième effort de recrutement (campagne Oriole) que les chercheurs ont observé a débuté en juin 2023 et s’est poursuivi jusqu’en septembre. Le mois dernier, le botnet comptait au moins 30 000 appareils de niveau 1.
Les chercheurs disent que le domaine C2 w8510[.] com utilisé dans la campagne Oriole » est devenu si important parmi les appareils IoT compromis qu’au 3 juin 2024, il a été inclus dans le classement des domaines parapluie Cisco” et qu’en août, il figurait également dans le radar de Cloudflare top un million de domaines.
“C’est un exploit inquiétant car les domaines qui figurent dans ces listes de popularité contournent souvent les outils de sécurité via la liste blanche de domaines, ce qui leur permet de développer et de maintenir l’accès et d’éviter davantage la détection » – Black Lotus Labs
Selon les chercheurs, le botnet a été utilisé en décembre dernier pour analyser des activités ciblant l’armée américaine, le gouvernement américain, les fournisseurs informatiques et les bases industrielles de défense.
Cependant, il semble que les efforts de ciblage soient mondiaux, car le train Raptor a également été utilisé pour cibler une agence gouvernementale au Kazakhstan.
De plus, Black Lotus Labs note que le botnet a également été impliqué dans des tentatives d’exploitation contre les serveurs Atlassian Confluence et les appliances sécurisées Ivanti Connect (probablement via CVE-2024-21887) dans des organisations des mêmes secteurs d’activité.
Actuellement, le botnet Raptor Train est au moins partiellement perturbé car Black Lotus Labs n’achemine aucun trafic vers les points d’infrastructure connus, « y compris leur infrastructure de gestion de botnet distribuée, C2, de charge utile et d’exploitation. »
Lié à des pirates informatiques d’État chinois
Selon les indicateurs trouvés au cours de l’enquête, Black Lotus Labs évalue avec une confiance moyenne à élevée que les opérateurs du train Raptor sont probablement des pirates informatiques chinois parrainés par l’État, en particulier le groupe Flax Typhoon.
À l’appui de la théorie, il n’y a pas seulement le choix des cibles, qui correspond aux intérêts chinois, mais aussi le langage utilisé dans la base de code et l’infrastructure, ainsi que le chevauchement de diverses tactiques, techniques et procédures.
Les chercheurs ont remarqué que les connexions de nœuds de gestion de niveau 3 aux systèmes de niveau 2 via SSH se produisaient « presque exclusivement » pendant les heures normales de la semaine de travail en Chine.
De plus, la description des fonctions et des menus d’interface, les commentaires et les références dans la base de code étaient en chinois.
Bien qu’il s’agisse d’un botnet sophistiqué, les utilisateurs et les défenseurs du réseau peuvent prendre certaines mesures pour se protéger contre Raptor Train. Par exemple, les administrateurs réseau doivent vérifier les transferts de données sortants importants, même si l’adresse IP de destination provient de la même zone.
Il est recommandé aux consommateurs de redémarrer régulièrement leurs routeurs et d’installer les dernières mises à jour du fournisseur. De plus, ils devraient remplacer les appareils qui ne sont plus pris en charge et qui ne reçoivent pas de mises à jour (systèmes en fin de vie).