FBI dan peneliti keamanan siber telah mengganggu botnet besar Tiongkok yang disebut “Raptor Train” yang menginfeksi lebih dari 260.000 perangkat jaringan untuk menargetkan infrastruktur penting di AS dan negara-negara lain.
Botnet telah digunakan untuk menargetkan entitas di bidang militer, pemerintahan, pendidikan tinggi, telekomunikasi, pangkalan industri pertahanan (DIB), dan sektor TI, terutama di AS dan Taiwan.
Selama empat tahun, Raptor Train telah berkembang menjadi jaringan kompleks dan bertingkat dengan sistem kontrol tingkat perusahaan untuk menangani puluhan server dan sejumlah besar perangkat SOHO dan konsumen yang terinfeksi: router dan modem, NVR dan DVR, kamera IP, dan server penyimpanan yang terpasang ke jaringan (NAS).
Botnet bertingkat
Raptor Train dimulai pada bulan Mei 2020 dan tampaknya tetap berada di bawah radar hingga tahun lalu ketika ditemukan oleh para peneliti di Laboratorium Teratai Hitamdivisi penelitian dan operasi ancaman di Lumen Technologies, saat menyelidiki router yang disusupi.
Sementara muatan utamanya adalah varian malware Mirai untuk serangan penolakan layanan terdistribusi (DDoS), yang oleh para peneliti disebut Nosedive, botnet tersebut belum terlihat menyebarkan serangan semacam itu.
Dalam laporan hari ini, para peneliti menggambarkan tiga tingkatan aktivitas dalam Raptor Train, masing-masing untuk operasi tertentu, misalnya mengirimkan tugas, mengelola server eksploitasi atau muatan, serta sistem komando dan kontrol (C2).
sumber: Black Lotus Labs
Jumlah perangkat aktif yang terinfeksi dalam botnet ini berfluktuasi, tetapi para peneliti meyakini bahwa lebih dari 200.000 sistem telah terinfeksi oleh Raptor Train sejak dimulai pada bulan Mei 2020, dan mengendalikan lebih dari 60.000 perangkat pada puncaknya pada bulan Juni tahun lalu.
Saat ini, Black Lotus Labs melacak jumlah perangkat terinfeksi aktif yang hampir sama, berfluktuasi beberapa ribu sejak Agustus.
Dalam sebuah peringatan hari ini tentang botnet yang sama, FBI mencatat bahwa Raptor Train menginfeksi lebih dari 260.000 perangkat.
sumber: FBI
Berbicara di KTT Aspen Cyber awal bulan ini, Direktur FBI Christopher Wray mengatakan bahwa Flax Typhoon bekerja atas arahan pemerintah Cina.
Untuk menghilangkan ancaman tersebut, FBI menjalankan operasi yang disahkan Pengadilan yang mengarah pada pengambilalihan infrastruktur botnet. Sebagai tanggapan, Flax Typhoon mencoba memindahkan perangkat yang terinfeksi ke server baru “dan bahkan melakukan serangan DDOS terhadap kami,” kata Wray.
“Pada akhirnya sebagai bagian dari operasi ini kami berhasil mengidentifikasi ribuan perangkat yang terinfeksi, dan kemudian dengan otorisasi pengadilan, mengeluarkan perintah untuk menghapus malware dari perangkat tersebut, melepaskannya dari cengkeraman Tiongkok” – Christopher Wray
Dalam database MySQL yang diambil dari server manajemen hulu (Tingkat 3), FBI menemukan bahwa pada bulan Juni tahun ini, terdapat lebih dari 1,2 juta catatan perangkat yang disusupi (aktif dan sebelumnya disusupi), dengan 385.000 sistem unik di AS.
FBI juga menghubungkan botnet tersebut dengan peretas Flax Typhoon yang disponsori negara, dengan mengatakan bahwa kendali Raptor Train dilakukan melalui perusahaan China Integrity Technology Group (Integrity Tech) dengan menggunakan alamat IP China Unicom Beijing Province Network.
Dengan arsitektur yang dapat menangani lebih dari 60 C2 dan bot yang mereka kelola, Raptor Train biasanya memiliki puluhan ribu perangkat Tier 1 yang aktif saat terlibat dalam kampanye:
| Modem/Router | |
| AksiTec PK5000 | ASUS RT-*/GT-*/ZenWifi |
| TP LINK | Kekuatan DrayTek |
| Tenda Nirkabel | Ruijie |
| Zyxel USG* | Ruckus Nirkabel |
| VNPT iGate | Mikrotik |
| TOTOLINK | |
| Kamera IP | |
| D-LINK DCS-* | Hikvision |
| Mobotix.dll | TIDAK |
| SUMBU | Panasonic |
| Perekam Video | NVR/DVR TVT Shenzhen |
| Perangkat NAS | |
| QNAP (Seri TS) | Fujitsu |
| Sinologi | Zyxel |
Para peneliti mengatakan bahwa operator Raptor Train menambahkan perangkat di Tier 1 kemungkinan dengan mengeksploitasi “lebih dari 20 jenis perangkat berbeda dengan kerentanan 0-hari dan n-hari (yang diketahui).”
Karena muatan Nosedive tidak memiliki mekanisme persistensi, perangkat ini tetap berada di botnet selama sekitar 17 hari dan operator merekrut yang baru sesuai kebutuhan.
Jaringan Tier 2 diperuntukkan bagi server komando dan kontrol, eksploitasi, dan muatan untuk perangkat Tier 1.
Black Lotus Labs membedakan antara server muatan tahap pertama dan tahap kedua, dengan yang pertama memberikan muatan yang lebih umum sedangkan yang terakhir terlibat dalam serangan yang lebih terarah pada jenis perangkat tertentu.
Para peneliti yakin bahwa ini mungkin bagian dari upaya untuk lebih menyembunyikan kerentanan zero-day yang digunakan dalam serangan.
Seiring berjalannya waktu, Raptor Train telah meningkatkan jumlah server C2, dari lima antara tahun 2020 dan 2022, menjadi 11 tahun lalu, dan lebih dari 60 tahun ini antara Juni dan Agustus.
Pengelolaan seluruh botnet dilakukan secara manual melalui SSH atau TLS dari sistem Tier 3 (disebut node Sparrow oleh penyerang), yang mengirimkan perintah dan mengumpulkan data seperti informasi bot dan log.
Untuk pengoperasian yang lebih mudah, node Sparrow Raptor Train menyediakan antarmuka web (front-end Javascript), back-end, dan fungsi tambahan untuk menghasilkan muatan dan eksploitasi.
Kampanye Kereta Raptor
Black Lotus Labs telah melacak empat kampanye Raptor Train sejak 2020 dan menemukan puluhan domain dan alamat IP Tingkat 2 dan Tingkat 3 yang digunakan dalam serangan tersebut.
Dimulai pada bulan Mei 2023, dalam sebuah kampanye yang oleh para peneliti disebut Canaray, operator botnet menunjukkan pendekatan yang lebih terarah dan menambahkan sebagian besar modem ActionTec PK5000, kamera IP Hikvision, NVR TVT Shenzhen, serta router ASUS RT- dan GT ke Raptor Train.
Selama hampir dua bulan selama kampanye Canary, satu server Tier 2 tahap kedua menginfeksi sedikitnya 16.000 perangkat.
Upaya perekrutan keempat (kampanye Oriole) yang diamati para peneliti dimulai pada Juni 2023 dan berlangsung hingga September ini. Bulan lalu, botnet tersebut memiliki sedikitnya 30.000 perangkat di Tingkat 1.
Para peneliti mengatakan bahwa domain C2 w8510[.]datang yang digunakan dalam kampanye Oriole “menjadi sangat menonjol di antara perangkat IoT yang disusupi, sehingga pada tanggal 3 Juni 2024, domain tersebut dimasukkan dalam peringkat domain Cisco Umbrella” dan pada bulan Agustus domain tersebut juga masuk dalam satu juta domain teratas Radar Cloudflare.
“Ini adalah prestasi yang mengkhawatirkan karena domain yang ada dalam daftar popularitas ini sering kali menghindari alat keamanan melalui daftar putih domain, yang memungkinkan mereka untuk tumbuh dan mempertahankan akses dan selanjutnya menghindari deteksi” – Black Lotus Labs
Menurut para peneliti, botnet tersebut digunakan Desember lalu dalam aktivitas pemindaian yang menargetkan militer AS, pemerintah AS, penyedia TI, dan pangkalan industri pertahanan.
Namun, tampaknya upaya penargetan ini bersifat global, karena Kereta Raptor juga digunakan untuk menargetkan sebuah lembaga pemerintah di Kazakhstan.
Selain itu, Black Lotus Labs mencatat bahwa botnet juga terlibat dalam upaya eksploitasi terhadap server Atlassian Confluence dan peralatan Ivanti Connect Secure (kemungkinan melalui CVE-2024-21887) di organisasi-organisasi di sektor aktivitas yang sama.
Saat ini, botnet Raptor Train sedikitnya terganggu sebagian karena Black Lotus Labs sedang mengalihkan lalu lintas secara nol ke titik infrastruktur yang diketahui, “termasuk manajemen botnet terdistribusi, C2, muatan, dan infrastruktur eksploitasi.”
Terkait dengan peretas negara China
Berdasarkan indikator yang ditemukan selama investigasi, Black Lotus Labs menilai dengan keyakinan sedang hingga tinggi bahwa operator Raptor Train kemungkinan besar adalah peretas Tiongkok yang disponsori negara, khususnya Badai Rami kelompok.
Yang mendukung teori tersebut bukan hanya pilihan target, yang sejalan dengan kepentingan Tiongkok tetapi juga bahasa yang digunakan dalam basis kode dan infrastruktur, serta tumpang tindih berbagai taktik, teknik, dan prosedur.
Para peneliti memperhatikan bahwa koneksi node manajemen Tingkat 3 ke sistem Tingkat 2 melalui SSH terjadi “hampir secara eksklusif” selama jam kerja normal di China.
Selain itu, deskripsi fungsi dan menu antarmuka, komentar, dan referensi dalam basis kode ditulis dalam bahasa Mandarin.
Meskipun merupakan botnet yang canggih, ada beberapa langkah yang dapat dilakukan pengguna dan pembela jaringan untuk melindungi diri dari Raptor Train. Misalnya, administrator jaringan harus memeriksa transfer data keluar yang besar, meskipun IP tujuan berasal dari area yang sama.
Konsumen disarankan untuk me-reboot router mereka secara berkala dan memasang pembaruan terkini dari vendor. Selain itu, mereka harus mengganti perangkat yang tidak lagi didukung dan tidak menerima pembaruan (sistem yang sudah tidak dapat digunakan lagi).
