Raptor Train: Botnettet som utnytter hverdagsenhetene dine
Botnets blir stadig mer sofistikerte og farlige. En av de mest alarmerende infeksjonene er Raptor Train Botnet. Dette enorme nettverket av kaprede småkontor/hjemmekontor (SOHO) og Internet of Things (IoT)-enheter, som dukker opp stille i 2020, har blitt knyttet til en kinesisk nasjonalstatstrusselaktør, Flax Typhoon. Raptor Train, som opererer snikende, har ikke bare klart å kompromittere hundretusenvis av enheter, men det har også vokst til et av de kraftigste og mest vedvarende botnettene i nyere hukommelse.
Table of Contents
Hva er Raptor Train Botnet?
Raptor Train er et botnett – et nettverk av kompromitterte enheter koblet til Internett kontrollert av en ondsinnet operatør. Disse enhetene, primært rutere, IP-kameraer, DVR-er og nettverkstilkoblede lagringsservere (NAS), tilhører vanlige mennesker og bedrifter. Likevel, uten eiernes viten, har de blitt rekruttert til en enorm digital hær.
I motsetning til tradisjonell skadelig programvare, retter Raptor Train seg mot spesifikke typer sårbare enheter som vanligvis brukes i hjem eller små kontorer. Dette inkluderer produkter fra kjente produsenter som TP-Link, Asus, Synology og Hikvision. Botnettets infrastruktur er designet for å opprettholde kontroll over disse enhetene, med en arkitektur som spenner over tre nivåer.
- Nivå 1 består av de infiserte IoT-enhetene.
- Nivå 2 er ansvarlig for å sende kommandoer og distribuere nye infeksjoner.
- Tier 3 , administrert av et sentralisert system kjent som Sparrow, gir instruksjoner og sporer hele nettverkets operasjoner.
Siden 2020 har Raptor Train kontinuerlig utvidet rekkevidden. I juni 2023 var over 60 000 enheter aktivt infisert, med mer enn 200 000 målrettet siden starten. Det som gjør dette botnettet spesielt formidabelt, er dets evne til å infisere enheter på nytt selv etter at de er omstartet eller midlertidig renset, noe som gjør det ekstremt motstandsdyktig.
Hva gjør Raptor Train?
Raptor Trains primære funksjon er å fungere som en stille digital hær, tilgjengelig for ulike ondsinnede oppgaver. Disse kan variere fra å installere DDoS-angrep (Distributed Denial of Service) til datatyveri og spionasje. Selv om det ikke har vært noen bekreftede DDoS-angrep fra dette botnettet så langt, er potensialet alarmerende. Nettverkets store skala, kombinert med dets evne til å utstede kommandoer, kjøre filer og overføre data, gjør det til et farlig verktøy for enhver aktør som har som mål å forstyrre eller spionere på spesifikke mål.
Forskere har avdekket at botnettet har blitt brukt i flere kampanjer opp gjennom årene. Hver kampanje brukte forskjellige domener og målrettet mot forskjellige enheter, og utviklet seg for å ligge i forkant av deteksjonsarbeidet. En nylig kampanje, med kodenavnet «Oriole», ble så utbredt at noen av domenene ble inkludert i domenelister med høy trafikk, noe som gjorde dem vanskeligere for sikkerhetsverktøy å blokkere.
Raptor Train antas å ha blitt brukt til spionasje, rettet mot sektorer som forsvar, utdanning og telekommunikasjon. Operatørene har vist en evne til å skanne etter sårbarheter og utnytte kjente feil i programvare, noe som kan føre til uautorisert tilgang eller datainnbrudd.
Hvordan kan du unngå Raptor-tog?
Den gode nyheten er at selv om Raptor Train er sofistikert, er det måter å beskytte enhetene dine mot å bli innkalt til dette botnettet. Her er noen viktige skritt for å forsvare seg mot den økende trusselen:
1. Oppdater enhetene dine regelmessig : En av hovedårsakene til at Raptor Train har vært så vellykket, er at mange IoT-enheter blir stående uten oppdatering og kjører utdatert programvare. Sørg for at du regelmessig oppdaterer rutere, kameraer og andre tilkoblede enheter for å sikre at de har de nyeste sikkerhetsoppdateringene.
2. Endre standardpassord : De fleste IoT-enheter kommer med standard brukernavn og passord som er enkle å gjette for angripere. Endre alltid disse til noe sikrere så snart du setter opp en ny enhet.
3. Aktiver brannmurer og deaktiver ubrukte funksjoner : Noen enheter tilbyr funksjoner som er unødvendige for daglig bruk, men som kan utnyttes av hackere. Se gjennom enhetens innstillinger og deaktiver alt du ikke trenger, som fjerntilgang eller Universal Plug and Play (UPnP).
4. Overvåk nettverksaktivitet : Overvåking av uvanlig aktivitet på hjemme- eller kontornettverket kan hjelpe deg med å oppdage om en enhet har blitt kompromittert. Bruk verktøy som inntrengingsdeteksjonssystemer for å overvåke trafikk.
5. Segmenter nettverket ditt : Hvis mulig, lag separate nettverk for IoT-enhetene dine. Derfor, selv om én enhet er kompromittert, vil en angriper ha vanskeligere for å få tilgang til mer kritiske systemer, som datamaskiner eller arbeidsservere.
Hvorfor Raptor Train er en vekker
Botnett som Raptor Train er en del av en større trend innen cyberkrigføring, der vanlige enheter utnyttes til statsstøttet spionasje og forstyrrelser. Det som er spesielt urovekkende er det store antallet sårbare IoT-enheter over hele verden. I motsetning til datamaskiner eller smarttelefoner, mottar mange av disse dingsene ikke regelmessige sikkerhetsoppdateringer, noe som gjør dem til hovedmål for hackere.
Raptor Train-botnettet fremhever et økende behov for sterkere cybersikkerhetstiltak for tilkoblede enheter. Enten det er en ruter i hjemmet eller et sikkerhetskamera på kontoret, er disse enhetene potensielle inngangsporter for dårlige skuespillere.
Eksperter på nettsikkerhet jobber kontinuerlig med å demontere dette botnettet, men så lenge IoT-enhetssårbarheter eksisterer, vil Raptor Train og lignende nettverk forbli en trussel. Etter hvert som flere aspekter av våre daglige liv blir koblet til Internett, har det aldri vært mer kritisk å beskytte disse enhetene mot kompromisser.
Bunnlinjen
Raptor Train eksemplifiserer risikoen som utgjøres av sårbare IoT- og SOHO-enheter. Ved å være på vakt, jevnlig oppdatere enheter og bruke beste praksis som passordadministrasjon og nettverkssegmentering, kan brukere redusere risikoen for botnett som dette betraktelig. Nettsikkerhetslandskapet vil fortsette å utvikle seg, og det må også vår tilnærming til å beskytte våre digitale liv.
