Raptor Train: ботнет, который использует ваши повседневные устройства

Ботнеты становятся все более изощренными и опасными. Одной из самых тревожных инфекций является ботнет Raptor Train. Эта обширная сеть захваченных устройств малого офиса/домашнего офиса (SOHO) и Интернета вещей (IoT), тихо появившаяся в 2020 году, была связана с китайским государственным злоумышленником Flax Typhoon. Действуя скрытно, Raptor Train не только сумел скомпрометировать сотни тысяч устройств, но и превратился в один из самых мощных и устойчивых ботнетов за последнее время.

Что такое ботнет Raptor Train?

Raptor Train — это ботнет — сеть скомпрометированных устройств, подключенных к Интернету и контролируемых злонамеренным оператором. Эти устройства, в первую очередь маршрутизаторы, IP-камеры, видеорегистраторы и сетевые хранилища (NAS), принадлежат обычным людям и предприятиям. Однако без ведома их владельцев они были завербованы в огромную цифровую армию.

В отличие от традиционных вредоносных программ, Raptor Train нацелен на определенные типы уязвимых устройств, которые обычно используются дома или в небольших офисах. Сюда входят продукты известных производителей, таких как TP-Link, Asus, Synology и Hikvision. Инфраструктура ботнета разработана для поддержания контроля над этими устройствами, а архитектура охватывает три уровня.

1. Уровень 1 состоит из зараженных устройств Интернета вещей.
2. Уровень 2 отвечает за отправку команд и распространение новых инфекций.
3. Уровень 3 , управляемый централизованной системой, известной как Sparrow, выдает инструкции и отслеживает операции всей сети.

С 2020 года Raptor Train постоянно расширяет свое присутствие. К июню 2023 года более 60 000 устройств были активно заражены, а с момента его создания было атаковано более 200 000 устройств. Особенно грозным этот ботнет делает его способность повторно заражать устройства даже после их перезагрузки или временной очистки, что делает его чрезвычайно устойчивым.

Что делает Raptor Train?

Основная функция Raptor Train — действовать как молчаливая цифровая армия, доступная для различных вредоносных задач. Они могут варьироваться от проведения атак типа «распределенный отказ в обслуживании» (DDoS) до кражи данных и шпионажа. Хотя до сих пор не было подтвержденных DDoS-атак с этого ботнета, его потенциал вызывает тревогу. Огромный масштаб сети в сочетании с ее способностью отдавать команды, выполнять файлы и передавать данные делает ее опасным инструментом для любого субъекта, стремящегося нарушить работу или шпионить за определенными целями.

Исследователи обнаружили, что ботнет использовался в нескольких кампаниях на протяжении многих лет. Каждая кампания использовала разные домены и была нацелена на разные устройства, развиваясь, чтобы оставаться впереди усилий по обнаружению. Одна из последних кампаний под кодовым названием «Oriole» стала настолько распространенной, что некоторые из ее доменов были включены в списки доменов с высоким трафиком, что усложнило их блокировку средствами безопасности.

Предполагается, что Raptor Train использовался для шпионажа, нацеленного на такие секторы, как оборона, образование и телекоммуникации. Его операторы продемонстрировали способность сканировать уязвимости и использовать известные недостатки в программном обеспечении, что может привести к несанкционированному доступу или утечкам данных.

Как избежать «поезда хищников»?

Хорошей новостью является то, что хотя Raptor Train и сложен, существуют способы защитить ваши устройства от вовлечения в этот ботнет. Вот несколько важных шагов для защиты от растущей угрозы:

1. Регулярно обновляйте свои устройства : Одна из главных причин, по которой Raptor Train был настолько успешным, заключается в том, что многие устройства IoT остаются без исправлений и используют устаревшее программное обеспечение. Обязательно регулярно обновляйте свои маршрутизаторы, камеры и другие подключенные устройства, чтобы убедиться, что у них установлены последние исправления безопасности.

2. Измените пароли по умолчанию : большинство устройств IoT поставляются с именами пользователей и паролями по умолчанию, которые легко угадать злоумышленникам. Всегда меняйте их на что-то более безопасное, как только настраиваете новое устройство.

3. Включите брандмауэры и отключите неиспользуемые функции : некоторые устройства предлагают функции, которые не нужны для повседневного использования, но могут быть использованы хакерами. Проверьте настройки вашего устройства и отключите все, что вам не нужно, например удаленный доступ или Universal Plug and Play (UPnP).

4. Мониторинг сетевой активности : Мониторинг необычной активности в домашней или офисной сети может помочь обнаружить, было ли устройство скомпрометировано. Используйте такие инструменты, как системы обнаружения вторжений, для мониторинга трафика.

5. Сегментируйте свою сеть : если возможно, создавайте отдельные сети для ваших устройств IoT. Поэтому, даже если одно устройство будет скомпрометировано, злоумышленнику будет сложнее получить доступ к более важным системам, таким как ваши компьютеры или рабочие серверы.

Почему Raptor Train — это тревожный звонок

Ботнеты, такие как Raptor Train, являются частью более масштабной тенденции в кибервойне, где обычные устройства используются для спонсируемого государством шпионажа и нарушения. Что особенно беспокоит, так это огромное количество уязвимых устройств IoT по всему миру. В отличие от компьютеров или смартфонов, многие из этих гаджетов не получают регулярных обновлений безопасности, что делает их главными целями для хакеров.

Ботнет Raptor Train подчеркивает растущую потребность в более жестких мерах кибербезопасности для подключенных устройств. Будь то маршрутизатор в вашем доме или камера безопасности в вашем офисе, эти устройства являются потенциальными шлюзами для злоумышленников.

Эксперты по кибербезопасности постоянно работают над тем, чтобы уничтожить этот ботнет, но пока существуют уязвимости устройств IoT, Raptor Train и подобные сети будут оставаться угрозой. Поскольку все больше аспектов нашей повседневной жизни подключаются к Интернету, защита этих устройств от компрометации никогда не была более важной.

Итог

Raptor Train иллюстрирует риски, связанные с уязвимыми устройствами IoT и SOHO. Сохраняя бдительность, регулярно обновляя устройства и используя передовые методы, такие как управление паролями и сегментация сети, пользователи могут значительно снизить риск ботнетов, подобных этому. Кибербезопасность будет продолжать развиваться, и вместе с ней должен развиваться и наш подход к защите нашей цифровой жизни.