El FBI está cerrando una enorme botnet de enrutadores domésticos, cámaras web y dispositivos NAS

Respectivamente Departamento de Justicia de EE. UU. Los fiscales estadounidenses cerraron una botnet de Internet de las cosas denominada Raptor Train basándose en una orden judicial. Para elevar el nivel de seguridad, todo el tráfico IP hacia los servidores de comando y control (C2), los servidores de carga útil y el resto de la infraestructura de la botnet se enruta a través de un enrutamiento de cero horas y deje que se ejecute en vacío, explicó Michael Hurka, jefe de información. arquitecto de seguridad en Black Lotus Labs. Según sus propias informaciones, el FBI se apoderó de partes de la infraestructura y ordenó a los robots que se apagaran.

anuncio

Black Lotus Labs es parte del proveedor de seguridad de TI Lumen Technologies y llamó la atención de los fiscales sobre Raptor Train por primera vez a mediados de 2023. Lumen Technologies construyó la botnet en detalle. descrito en el documento.

Raptor Train: botnet controlada por China

Según el FBI, la botnet era operada por una empresa china llamada Integrity Technology Group (Integrity Tech), que según las autoridades tiene vínculos con el gobierno chino. Empresas como Microsoft O Crowdstrike se refiere a la fuerza pirata del estado como Flax Typhoon.

Según el FBI, en junio Integrity Tech tenía bajo control 260.000 enrutadores, cámaras web y dispositivos NAS en todo el mundo, incluidos casi 19.000 en Alemania. Los fabricantes afectados incluyen Asus, DrayTek, Hikvision, Microtik, Mobotix, Qnap, Synology, TP-Link, Ruckus Wireless y Zyxel. Según Michael Hurka, quien proporcionó detalles sobre el tren Raptor en el cuadro. Conferencia de seguridad Labscon 2024 Tal como se presentan, es posible que las vulnerabilidades de día cero no se hayan utilizado para infectar dispositivos. Sin embargo, la infraestructura utilizada para gestionar los bots está diseñada para este fin. Fiscales Listas en un documento Todas las vulnerabilidades que aprovecha Raptor Train. Muchos dispositivos afectados todavía reciben actualizaciones de seguridad de sus fabricantes.

Robots de tres capas

La botnet consta de tres capas: los investigadores llaman a los dispositivos infectados la primera capa. El nivel 2 eran los servidores C2. El nivel 3 se utilizó para gestionar el equipo infectado. Respecto al nivel 1, Mike Hurka dijo: “El malware utilizado por Raptor Train existe exclusivamente en la memoria del dispositivo. Por lo tanto, no sobrevive a los reinicios, lo que explica la constante fluctuación del número de bots”. En promedio, los dispositivos infectados formaron parte de la botnet durante 17 días. Según el FBI, un total de 1,2 millones de dispositivos fueron infectados durante los cuatro años de vida de la botnet.

El malware, bautizado Nosedive por Black Lotus Labs, se basa en el código del conocido malware Mirai IoT y se ejecuta en diferentes plataformas de hardware como ARM, MIPS, PowerPC o x86. El malware se descarga desde un script bash de 15 líneas que identifica la plataforma de hardware en cuestión y luego la atraviesa. wget Descarga el implante real. “El malware se escondió en la máquina infectada asignando un nombre de proceso común elegido al azar de una lista de once entradas”, dijo Mike Hurka.

El objetivo del ejercicio: ataques de camuflaje.

Según Black Lotus Labs, los robots se han utilizado para atacar a organizaciones estadounidenses y taiwanesas en los sectores militar, gubernamental, educativo, de defensa, de comunicaciones y de TI. Según Mike Hurka, dado que los investigadores de seguridad de TI no tienen acceso a la capa C2, es difícil rastrear las actividades exactas de una botnet. Por ejemplo, no se han observado ataques DDoS, aunque hay muchas funciones para ello en el software Tier3.

La lista de vulnerabilidades controladas por Raptor Train incluye muchos dispositivos de hardware y software profesionales como Cisco ASA, Firepower, F5 BIG-IP, IBM Tivoli, WebSphere o Ivanti. Esto indica que los operadores de botnets están haciendo un mal uso de los dispositivos IoT infectados para atacar estos componentes de hardware y software, escondiéndose detrás de las direcciones IP de las víctimas.

Los expertos en seguridad informática explican cómo las empresas utilizan los dispositivos IoT para protegerse de este tipo de ataques. Seminario web de Heise Security “Seguridad e IoT en uso empresarial: ¿cómo puede funcionar esto?”. Los gerentes y administradores de seguridad aprenden a reconocer, evaluar y mitigar las amenazas de IoT. Hay descuento por reserva anticipada hasta el 1 de octubre de 2024.

(tu sangre)