Alrededor de 1,2 millones de dispositivos IoT formaban parte de una botnet en todo el mundo, una décima parte de ellos en Alemania. El FBI ahora lo ha cerrado.
Según el Departamento de Justicia de EE. UU., los fiscales estadounidenses cerraron la botnet de IoT denominada Raptor Train basándose en una orden judicial. Michael Horka, ingeniero senior de seguridad de la información en Black Lotus Labs, explicó a Heise Security que todo el tráfico IP a los servidores de comando y control (C2), los servidores de carga útil y el resto de la infraestructura de la botnet se enruta a través de un enrutamiento cero. Según sus propios datos, el FBI se hizo cargo de partes de la infraestructura y ordenó a los robots que se desconectaran.
Black Lotus Labs es parte del proveedor de seguridad de TI Lumen Technologies y llamó la atención de los fiscales por primera vez sobre Raptor Train a mediados de 2023. Lumen Technologies ha descrito en detalle la construcción de la botnet en un documento .
Raptor Train: botnet controlada por China
Según el FBI, la botnet era operada por una empresa china llamada Integrity Technology Group (Integrity Tech), que según las autoridades tiene vínculos con el gobierno chino. Empresas como Microsoft y Crowdstrike se refieren a la fuerza de piratería estatal como Flax Typhoon.
Según el FBI, en junio Integrity Tech tenía bajo control unos 260.000 routers, cámaras web y dispositivos NAS en todo el mundo, incluidos casi 19.000 en Alemania. Los fabricantes afectados incluyen Asus, DrayTek, Hikvision, Microtik, Mobotix, Qnap, Synology, TP-Link, Ruckus Wireless y Zyxel. Según Michael Horka, que presentó los detalles de Raptor Train en la conferencia de seguridad Labscon 2024 , probablemente no se utilizaron exploits de día cero para infectar los dispositivos. Sin embargo, la infraestructura utilizada para gestionar la botnet está diseñada para ello. Los fiscales enumeran en un documento todas las vulnerabilidades explotadas por Raptor Train . Muchos de los dispositivos afectados todavía reciben actualizaciones de seguridad de los fabricantes.
Red de bots de tres niveles
La botnet tenía tres capas: los investigadores denominan a los dispositivos infectados Nivel 1. El nivel 2 eran los servidores C2. Se utilizó el nivel 3 para gestionar el equipo infectado. Respecto al nivel 1, Mike Horka dijo: «El malware utilizado por Raptor Train existe exclusivamente en la memoria del dispositivo. Por lo tanto, no sobrevive a los reinicios, lo que explica la constante fluctuación del número de bots». En promedio, los dispositivos infectados formaron parte de la botnet durante unos buenos 17 días. Según el FBI, un total de 1,2 millones de dispositivos fueron infectados durante los cuatro años de vida de la botnet. Esa es la cantidad de ID que se encontraron en la base de datos MySQL, que almacenaba una ID única para cada dispositivo recién infectado en el momento de la infección.
El malware, denominado Nosedive por Black Lotus Labs, se basa en el código del conocido malware IoT Mirai y se ejecuta en varias plataformas de hardware como ARM, MIPS, PowerPC o x86. El malware se descarga desde un script bash de 15 líneas que reconoce la plataforma de hardware en cuestión y luego wgetla descarga a través del implante real. «El malware se escondió en el dispositivo infectado asignándose un nombre de proceso común que fue elegido al azar de una lista de once entradas», dijo Mike Horka.
Objetivo del ejercicio: disfrazar ataques
Según Black Lotus Labs, los robots se utilizaron para atacar a organizaciones estadounidenses y taiwanesas en los sectores militar, gubernamental, educativo, de defensa, de telecomunicaciones y de TI. Según Mike Horka, dado que los investigadores de seguridad informática no tenían acceso a la capa C2, es difícil rastrear las actividades exactas de la botnet. Por ejemplo, no se observaron ataques DDoS, aunque sí había numerosas funciones para ello en el software Tier3.
La lista de exploits controlados por Raptor Train incluye muchos para hardware y software profesional como Cisco ASA y Firepower, F5 BIG-IP, IBM Tivoli y WebSphere o dispositivos Ivanti. Esto sugiere que los operadores de la botnet hicieron un mal uso de los dispositivos IoT infectados para atacar estos componentes de hardware y software, escondiéndose detrás de las direcciones IP de las víctimas.