Le FBI démantèle Raptor Train : Un Botnet Chinois qui a Infecté 260 000 Appareils IoT dans le monde!
Last updated
Last updated
Le Raptor Train est un botnet sophistiqué et de grande envergure, actif depuis mai 2020. Il a compromis plus de 260 000 dispositifs IoT et réseaux de petites entreprises, y compris des routeurs et des caméras IP. Ce botnet est attribué au groupe de hackers d’État chinois Flax Typhoon, connu pour ses campagnes de cyberespionnage visant des infrastructures critiques aux États-Unis, à Taïwan et dans d'autres pays. Ce groupe utilise une architecture de botnet complexe et multi-niveaux, ce qui en fait une menace persistante et difficile à éradiquer.
⏩ Pour ceux qui ne sont pas familiers avec les termes techniques, n'hésitez pas à consulter le chapitre "Définition" sinon continuez directement l'article avec le Chapitre "Fonctionnement et Infrastructure du Raptor Train".
Le Raptor Train utilise un réseau à trois niveaux pour maximiser son efficacité et sa capacité de commandement et contrôle :
Niveau 1 (TIER 1) : Regroupe les appareils infectés, tels que des routeurs, des caméras IP et des serveurs NAS. Les appareils infectés dans ce niveau restent généralement actifs pendant environ 17 jours avant d'être remplacés par de nouveaux dispositifs compromis.
La majorité des nodes TIER 1 (Niveau 1) est géolocalisée aux États-Unis, Taiwain, Vietnam, Brésil, Hong Kong et Turquie.
Niveau 2 (TIER 2) : Constitué de serveurs virtuels dédiés qui agissent comme serveurs C2 (Command and Control), exploitant et livrant les charges utiles aux appareils du niveau 1. Ces serveurs sont stratégiquement organisés pour rendre les opérations plus difficiles à détecter et à perturber.
Les nœuds de niveau 2, quant à eux, font l'objet d'une rotation tous les 75 jours environ et sont principalement basés aux États-Unis, à Singapour, au Royaume-Uni, au Japon et en Corée du Sud. Le nombre de nœuds C2 est passé d'environ 1 à 5 entre 2020 et 2022 à pas moins de 60 entre juin 2024 et août 2024.
Niveau 3 (TIER 3) : Ce niveau est responsable de la gestion manuelle des nœuds de niveau 2 et supervise les opérations du botnet, y compris l'envoi de commandes, la collecte des données et la gestion des exploits via une interface centralisée appelée Sparrow. Le contrôle est exercé via des connexions SSH pendant les heures de travail en Chine, suggérant que les opérateurs du botnet travaillent selon des horaires réguliers.
Au total, plus de 1,2 million d'enregistrements de dispositifs compromis ont été identifiés dans une base de données MySQL hébergée sur un serveur de gestion de niveau 3 utilisé pour administrer et contrôler le botnet et les serveurs C2 au moyen de l'application Sparrow. Sparrow contient également un module permettant d'exploiter les réseaux informatiques à l'aide d'un arsenal de failles connues et de type « zero-day ».
Le botnet Raptor Train a conduit plusieurs campagnes distinctes depuis son émergence en 2020, exploitant diverses failles dans les appareils IoT et les réseaux. Ces campagnes se différencient par les domaines C2 (Command and Control) et les types d'appareils ciblés :
Crossbill (de mai 2020 à avril 2022) : Utilisation du domaine C2 k3121.com et ses sous-domaines associés.
Finch (de juillet 2022 à juin 2023) : Utilisation du domaine C2 b2047.com et ses sous-domaines associés.
Canary (de mai 2023 à août 2023) : Utilisation du domaine C2 b2047.com, avec une infection en plusieurs étapes.
Oriole (de juin 2023 à septembre 2024) : Utilisation du domaine C2 w8510.com et ses sous-domaines associés.
La campagne Canary s'est concentrée sur les modems ActionTec PK5000, les caméras IP Hikvision, ainsi que sur les NVRs de Shenzhen TVT et les routeurs ASUS. Cette campagne est remarquable par son utilisation d'une chaîne d'infection multi-étapes. La première étape consiste à télécharger un script bash, qui se connecte à un serveur de charge utile de niveau 2 pour récupérer un malware appelé Nosedive, suivi d'un script bash de deuxième étape.
Chaque nouvelle étape tente ensuite de télécharger et d'exécuter des scripts supplémentaires à intervalles réguliers, toutes les 60 minutes, pour maintenir l'infection.
Le Raptor Train exploite plus de 20 types de dispositifs différents, incluant des marques comme TP-Link, ASUS, Hikvision, et Synology. Les hackers tirent parti de failles zero-day (inconnues et non corrigées) et de vulnérabilités connues pour pénétrer ces appareils. Cela permet une propagation rapide du botnet, qui reste résistant aux solutions de défense traditionnelles grâce à l'absence de mécanismes de persistance dans ses charges utiles.
Le botnet vise principalement des secteurs stratégiques comme les infrastructures critiques, les télécommunications, le secteur militaire, et l'éducation supérieure, en particulier aux États-Unis et à Taïwan. En juin 2023, le Raptor Train contrôlait déjà 60 000 appareils actifs, mais avec des campagnes telles que Canary et Oriole, ce nombre a grimpé à plus de 260 000 appareils compromis. Les États-Unis et d'autres pays ont également été touchés, avec près de 385 000 dispositifs uniquement aux États-Unis enregistrés dans la base de données du botnet.
Dans une publication dans "JOINT Cybersecurity Advisory" du 18 septembre 2024, les tableaux suivants ont été publiés:
Face à la montée en puissance du Raptor Train, les autorités américaines, avec la collaboration d'organisations internationales, ont mené des opérations coordonnées pour démanteler l'infrastructure du botnet. Utilisant des ordonnances judiciaires, le FBI a pris le contrôle de certains serveurs C2 et envoyé des commandes pour supprimer les malwares des appareils compromis. Toutefois, les opérateurs du botnet ont réagi par une tentative d'attaque DDoS contre les infrastructures américaines, sans succès. Le FBI et d'autres organismes continuent de surveiller l'activité du botnet, et des efforts de mitigation sont en cours pour aider les propriétaires d'appareils à sécuriser leurs réseaux.
Le FBI recommande aux défenseurs de réseaux d'adopter les actions suivantes pour atténuer les menaces posées par les adversaires qui utilisent des botnets à des fins de cyberactivité malveillante. Ces mesures visent à empêcher les appareils IoT de faire partie d'un botnet, ainsi qu'à protéger les réseaux déjà infectés par des botnets.
Désactiver les services et ports inutilisés : Cela inclut des fonctionnalités telles que la configuration automatique, l'accès à distance ou les protocoles de partage de fichiers. Les routeurs et les appareils IoT peuvent offrir des fonctionnalités telles que Universal Plug and Play (UPnP), les options de gestion à distance, ou les services de partage de fichiers, qui peuvent être exploités par des attaquants pour obtenir un accès initial ou propager des malwares à d'autres dispositifs du réseau. Désactivez ces fonctionnalités si elles ne sont pas nécessaires.
Mettre en œuvre la segmentation du réseau : Assurez-vous que les dispositifs IoT sont isolés dans des segments de réseau pour réduire les risques en cas de compromission. Utilisez le principe du moindre privilège pour fournir aux appareils uniquement la connectivité nécessaire pour accomplir leur fonction.
Surveiller les volumes de trafic réseau élevés : Les attaques DDoS émanant des botnets peuvent initialement sembler être du trafic normal. Il est donc crucial de définir, surveiller et se préparer à détecter tout trafic anormal. La surveillance peut être effectuée via des pare-feux ou des systèmes de détection d'intrusion. Certaines solutions de réseau, telles que des proxys, peuvent aider à atténuer les incidents DDoS.
Appliquer des correctifs et des mises à jour : Installez régulièrement les mises à jour logicielles et les correctifs de sécurité sur les appareils IoT. Des correctifs réguliers permettent de combler les vulnérabilités connues. Si possible, utilisez les canaux de mises à jour automatiques provenant de sources fiables. Ne faites pas confiance aux e-mails qui prétendent fournir des mises à jour logicielles sous forme de pièces jointes ou de liens vers des sites non sécurisés.
Remplacer les mots de passe par défaut par des mots de passe sécurisés : De nombreux produits IoT incluent des mots de passe d'administration en plus d'autres comptes d'utilisateur. Assurez-vous que tous les mots de passe sont modifiés par rapport à leurs valeurs par défaut, et appliquez une politique de mots de passe robustes. Si possible, désactivez les indices de mot de passe.
Prévoir le redémarrage des appareils : Le redémarrage d'un appareil termine tous les processus en cours d'exécution, ce qui peut éliminer certains types de malwares, comme les malwares "sans fichier" qui s'exécutent uniquement dans la mémoire de l'hôte. Si un appareil est compromis, envisagez de redémarrer les appareils touchés à distance, voire manuellement si nécessaire.
Remplacer les équipements en fin de vie : Les dispositifs obsolètes ou en fin de vie devraient être remplacés par des appareils soutenus par des fournisseurs disposant de mises à jour régulières et de mesures de support technique adéquates.
Le Raptor Train reste une menace active, et bien que des efforts aient été faits pour perturber ses opérations, sa structure sophistiquée et sa capacité à exploiter de nouvelles vulnérabilités en font une cible prioritaire pour les forces de sécurité informatique mondiales. La mise à jour des appareils IoT et la mise en place de défenses appropriées sont cruciales pour limiter les futures infections.
Pour aider à mieux comprendre les détails techniques abordés dans cet article, voici une série de définitions clés. Si vous n'êtes pas familier avec certains des concepts, cette section vous fournira des explications simples et accessibles des termes essentiels liés aux cyberattaques, aux botnets et aux vulnérabilités informatiques. Ces définitions permettront d'éclairer le fonctionnement du Raptor Train et des mesures prises par le FBI pour démanteler cette menace.
Un botnet est un réseau d'ordinateurs ou de dispositifs infectés par un logiciel malveillant, qui sont contrôlés à distance par un cybercriminel appelé "bot herder". Ces appareils infectés, souvent appelés bots ou zombies, exécutent des tâches malveillantes telles que des attaques de type DDoS (Distributed Denial of Service), le vol de données ou l'envoi de spams. Les utilisateurs des appareils infectés ne savent généralement pas que leurs systèmes font partie d'un botnet.
Source : Kaspersky
Une attaque par déni de service distribué (DDoS) est une tentative de rendre un service en ligne ou un réseau indisponible en le submergeant avec un flux de trafic provenant de plusieurs sources. Dans une attaque DDoS, des milliers d'ordinateurs compromis (souvent appartenant à un botnet) sont utilisés pour inonder une cible avec un volume de demandes très élevé, surchargent les ressources et rendant le service inaccessible.
Source : Cloudflare
L'Internet des objets (IoT) désigne l'interconnexion de dispositifs physiques (tels que des caméras, des routeurs, des appareils électroménagers) via Internet, qui peuvent collecter et échanger des données. Ces dispositifs sont souvent des cibles privilégiées pour les cyberattaques en raison de leur sécurité souvent moins robuste.
Source : IBM
Une faille zero-day est une vulnérabilité dans un logiciel qui est exploitée par des cybercriminels avant que le développeur du logiciel ou le fournisseur de sécurité n'ait connaissance de son existence et ait eu le temps de la corriger. Une attaque zero-day est particulièrement dangereuse car il n'existe pas encore de correctif ou de mise à jour pour protéger les utilisateurs.
Source : Trend Micro
Dans le contexte des cyberattaques, un serveur C2 (Command and Control) est utilisé par les cybercriminels pour communiquer avec des dispositifs compromis dans un botnet. Ces serveurs envoient des instructions aux appareils infectés et reçoivent des données volées, tout en permettant aux attaquants de contrôler le réseau de bots.
Source : Fortinet