Uma enorme botnet IoT que compreende mais de 200.000 dispositivos comprometidos, apelidada de “Raptor Prepare”, foi descoberta por Laboratórios Black Lotuso braço de inteligência de ameaças da Lumen Applied sciences. Acredita-se que o botnet seja operado por agentes de ameaças patrocinados pelo estado chinês, conhecidos como Flax Storm.
A investigação – que começou em meados de 2023 – revelou uma rede sofisticada de pequenos escritórios/escritórios domésticos (SOHO) e dispositivos IoT, incluindo roteadores, dispositivos NVR/DVR, servidores de armazenamento conectado à rede (NAS) e câmeras IP. Em seu pico em junho de 2023, a botnet consistia em mais de 60.000 dispositivos ativamente comprometidos.
“Com base na escala recente de exploração de dispositivos, suspeitamos que centenas de milhares de dispositivos foram enredados por essa rede desde sua formação em maio de 2020”, observaram pesquisadores do Black Lotus Labs.
A infraestrutura da botnet é gerenciada por meio de uma série de servidores de payload e comando e controle (C2) distribuídos, um backend Node.js centralizado e um front-end de aplicativo Electron multiplataforma chamado “Sparrow”. Este sistema de controle de nível empresarial permite que os agentes de ameaças gerenciem até 60 servidores C2 e seus nós infectados simultaneamente.
“Este serviço permite um conjunto completo de atividades, incluindo exploração escalável de bots, gerenciamento de vulnerabilidades e explorações, gerenciamento remoto de infraestrutura C2, uploads e downloads de arquivos, execução remota de comandos e a capacidade de personalizar ataques de negação de serviço distribuída (DDoS) baseados em IoT em escala”, explicaram os pesquisadores.
Embora nenhum ataque DDoS originário do Raptor Prepare tenha sido observado ainda, os pesquisadores suspeitam que essa capacidade esteja sendo preservada para uso futuro. O botnet foi vinculado a atingir entidades dos EUA e de Taiwan em vários setores, incluindo militar, governo, ensino superior, telecomunicaçõesbase industrial de defesa (DIB) e TI.
O implante primário usado na maioria dos nós de Nível 1, chamado “Nosedive”, é uma variação personalizada do Mirai implante. Ele suporta todas as principais arquiteturas SOHO e IoT e emprega técnicas anti-forenses, tornando a detecção e a análise desafiadoras.
A Black Lotus Labs identificou quatro campanhas distintas desde o início do Raptor Prepare: Crossbill (maio de 2020 a abril de 2022), Finch (julho de 2022 a junho de 2023), Canary (maio de 2023 a agosto de 2023) e Oriole (junho de 2023 até o presente). Cada campanha demonstrou táticas em evolução e uma expansão de tipos de dispositivos comprometidos.
Os pesquisadores atribuem a botnet ao Flax Storm com base em prazos operacionais, segmentação alinhada aos interesses chineses, uso da língua chinesa e outras sobreposições de TTP.
Em resposta a essas descobertas, a Lumen Applied sciences anulou o tráfego para a infraestrutura conhecida usada pelos operadores do Raptor Prepare e compartilhou informações sobre ameaças com agências do governo dos EUA.
Foi elaborado um parecer conjunto sobre segurança cibernética publicado (PDF) pelo FBI, Cyber Nationwide Mission Power (CNMF) e Nationwide Safety Company (NSA) que avalia de forma semelhante que “atores cibernéticos vinculados à República In style da China (RPC) comprometeram milhares de dispositivos conectados à Web, incluindo roteadores de pequenos escritórios/escritórios domésticos (SOHO), firewalls, armazenamento conectado à rede (NAS) e dispositivos de Web das Coisas (IoT) com o objetivo de criar uma rede de nós comprometidos (uma “botnet”) posicionados para atividades maliciosas”.
Para se proteger contra tais ameaças, os defensores de rede são aconselhados a procurar grandes transferências de dados para fora da rede, mesmo que o IP de destino pareça native. As organizações devem considerar a implementação de soluções abrangentes de safe entry service edge (SASE), enquanto os consumidores com roteadores SOHO devem reinicializar regularmente os dispositivos e instalar atualizações de segurança.
Veja também: Câmeras de segurança sem patch alimentam aumento da botnet ‘Corona Mirai’
Quer aprender sobre IoT com líderes do setor? Confira Exposição de tecnologia IoT acontecendo em Amsterdã, Califórnia e Londres. O evento abrangente é co-localizado com outros eventos importantes, incluindo Segurança Cibernética e Exposição de Nuvem, Exposição de IA e Huge Knowledge, Conferência de Automação Inteligente, Exposição de Computação de Bordae Semana da Transformação Digital.
Discover outros próximos eventos e webinars de tecnologia empresarial oferecidos pela TechForge aqui.