Nach Angaben des US-Justizministeriums haben US-Strafverfolgungsbehörden das IoT-Botnetz namens Raptor Train aufgrund eines Gerichtsbeschlusses abgeschaltet. Michael Horka, Senior Lead Information Security Engineer bei Black Lotus Labs, erklärte gegenüber heise security, dass der gesamte IP-Verkehr zu den Command-and-Control-Servern (C2), den Payload-Servern und der restlichen Botnetz-Infrastruktur mittels Nullrouting ins Leere geleitet wurde. Das FBI sagte, es habe Teile der Infrastruktur übernommen und die Bots angewiesen, sich selbst abzuschalten.
Werbung
Black Lotus Labs gehört zum IT-Sicherheitsanbieter Lumen Technologies und machte Raptor Train erstmals Mitte 2023 ins Visier der Strafverfolgungsbehörden. Lumen Technologies hat den Aufbau des Botnetzes in einem Dokument detailliert beschrieben.
Raptor Train: Von China kontrolliertes Botnetz
Laut FBI wurde das Botnetz von einem chinesischen Unternehmen namens Integrity Technology Group (Integrity Tech) betrieben, das laut Angaben der Behörden Verbindungen zur chinesischen Regierung hat. Unternehmen wie Microsoft und Crowdstrike bezeichnen die staatliche Hackergruppe als Flax Typhoon.
Im Juni hatte Integrity Tech laut FBI weltweit gut 260.000 Router, Webcams und NAS-Geräte unter Kontrolle, davon knapp 19.000 in Deutschland. Zu den betroffenen Herstellern zählen unter anderem Asus, DrayTek, Hikvison, Microtik, Mobotix, Qnap, Synology, TP-Link, Ruckus Wireless und Zyxel. Laut Michael Horka, der die Details zu Raptor Train auf der Sicherheitskonferenz Labscon 2024 vorstellte, wurden zur Infektion der Geräte vermutlich keine Zero-Day-Exploits genutzt. Die Infrastruktur, mit der das Botnetz verwaltet wird, ist allerdings darauf ausgelegt. Die Strafverfolgungsbehörden listen in einem Dokument alle von Raptor Train ausgenutzten Schwachstellen auf. Viele der betroffenen Geräte werden von den Herstellern noch immer mit Sicherheitsupdates versorgt.
Dreistufiges Botnetz
Das Botnetz bestand aus drei Schichten: Als Tier 1 bezeichnen die Forscher die infizierten Geräte. Tier 2 waren die C2-Server. Tier 3 diente der Verwaltung der infizierten Geräte. Zu Tier 1 sagte Mike Horka: „Die von Raptor Train verwendete Schadsoftware existiert ausschließlich im Speicher der Geräte. Sie überlebt daher Neustarts nicht, was die ständig schwankende Zahl der Bots erklärt.“ Im Durchschnitt waren infizierte Geräte gut 17 Tage lang Teil des Botnetzes. Insgesamt wurden laut FBI im Laufe der vierjährigen Lebensdauer des Botnetzes gut 1,2 Millionen Geräte infiziert.
Die von Black Lotus Labs Nosedive getaufte Malware basiert auf dem Code der bekannten IoT-Malware Mirai und läuft auf verschiedenen Hardwareplattformen wie ARM, MIPS, PowerPC oder x86. Die Malware wird von einem 15-zeiligen Bash-Skript heruntergeladen, das die betreffende Hardwareplattform erkennt und dann wget lädt das eigentliche Implantat herunter. „Die Malware versteckte sich auf dem infizierten Gerät, indem sie sich einen gängigen Prozessnamen zuwies, der zufällig aus einer Liste mit elf Einträgen ausgewählt wurde“, sagte Mike Horka.
Ziel der Übung: Angriffe vertuschen
Laut Black Lotus Labs wurden die Bots für Angriffe auf US-amerikanische und taiwanesische Organisationen aus den Bereichen Militär, Regierung, Bildung, Verteidigung, Telekommunikation und IT eingesetzt. Da die IT-Sicherheitsforscher keinen Zugriff auf die C2-Schicht hatten, sei es laut Mike Horka schwierig, die genauen Aktivitäten des Botnetzes nachzuvollziehen. So seien etwa keine DDoS-Angriffe beobachtet worden, obwohl die Tier3-Software zahlreiche Funktionen für diesen Zweck enthielt.
Die Liste der von Raptor Train kontrollierten Exploits umfasst mehrere für professionelle Hard- und Software wie Cisco ASA und Firepower, F5 BIG-IP, IBM Tivoli und WebSphere oder Ivanti-Geräte. Dies lässt darauf schließen, dass die Botnetzbetreiber die infizierten IoT-Geräte missbrauchten, um diese Hard- und Softwarekomponenten anzugreifen, und sich dabei hinter der IP-Adresse der Opfer versteckten.
Wie sich Unternehmen mithilfe von IoT-Geräten vor solchen Angriffen schützen können, erklären IT-Sicherheitsexperten im heise Security-Webinar „Security & IoT im Unternehmenseinsatz – wie kann das gelingen?“. Sicherheitsverantwortliche und Admins erfahren, wie sie IoT-Risiken erkennen, bewerten und minimieren können. Bis zum 1. Oktober 2024 gibt es einen Frühbucherrabatt.
(dmk)