Asiantuntijoiden mukaan Pekingin tukemaksi epäilty Flax Typhoon -ryhmä on orkestroinut haitallisen verkoston hyödyntämällä tavallisia laitteita, kuten reitittimiä ja kameroita. Tämä maailmanlaajuiseksi kasvanut kyberhyökkäys on nimetty Raptor Trainiksi.
Toukokuusta 2020 lähtien tämän verkoston epäillään olleen käytössä erilaisten kohteiden, kuten kriittisten infrastruktuurien, hallitusten ja teknologiayritysten, valvontaan. Monet vaarantuneet laitteet, jotka sijaitsevat pääasiassa Yhdysvalloissa, ovat voineet palvella laajamittaisempia hyökkäyksiä.
FBI on kansainvälisten kumppaneiden avulla ryhtynyt toimiin tämän uhan torjumiseksi. He ovat onnistuneet poistamaan haittaohjelmat 260 000 laitteesta. Kesäkuussa 2023 tällä bottiverkolla oli kyky hallita jopa 60 000 laitetta samanaikaisesti.
Raptor Train -verkosto hyödyntää tietoturva-aukkoja laitteissa, jotka usein jäävät ilman päivityksiä, mikä tekee niistä kyberrikollisten suosikkikohteita. Hyökkäys, vaikka se onkin hienostunut, perustuu yksinkertaiseen periaatteeseen: kuluttajalaitteiden kaappaamiseen kybervakoiluvälineiksi.
Tämä operaatio on myös tuonut esiin Pekingissä sijaitsevan kiinalaisen Integrity Technology Group -yhtiön oletetun roolin. Yrityksen epäillään tarjonneen Flax Typhoonille tarvittavan infrastruktuurin, erityisesti KRLab-ohjelmistonsa kautta.
Kyberturvallisuuden asiantuntijoiden mukaan tätä bottiverkkoa voitaisiin mahdollisesti käyttää DDoS-hyökkäysten (Distributed Denial of Service) käynnistämiseen, joiden tarkoituksena on ylikuormittaa palvelimia massiivisella liikenteellä. Vaikka tämä uhka ei ole vielä toteutunut, se on edelleen huolenaihe tulevaisuudessa.
Kiina on puolestaan kiistänyt jyrkästi nämä syytökset. Yhdysvaltain viranomaiset jatkavat tämän haitallisen verkoston kehityksen tarkkaa seurantaa. Kansainvälinen yhteistyö on edelleen ratkaisevan tärkeää kyberturvallisuuden vahvistamiseksi näiden maailmanlaajuisten uhkien edessä.
On huomattava, että vastaaviin tapauksiin on liittynyt muitakin valtioita kuin Kiina, mikä korostaa maailmanlaajuisen kyberturvallisuuden monimutkaisuutta. Vuonna 2010 Yhdysvaltojen ja Israelin yhteistyölle omistettu Stuxnet-virus sabotoi Iranin ydinlaitteita.
Viime aikoina, vuonna 2016, venäläiset hakkerit tunkeutuivat Yhdysvaltain demokraattisen kansalliskomitean palvelimille pyrkien vaikuttamaan Yhdysvaltain presidentinvaaleihin.
Nämä tapaukset havainnollistavat, kuinka eri hallitukset hyödyntävät digitaalisia teknologioita strategisten tavoitteiden saavuttamiseksi, pelkän kyberrikollisuuden lisäksi. Ja kuten voidaan arvata, tehokkaimmat hyökkäykset ovat niitä, joita ei ole koskaan havaittu.
Miten bottiverkko muodostuu?
Bottiverkko muodostuu, kun hakkerit hyödyntävät Internetiin kytkettyjen laitteiden tietoturva-aukkoja. Nämä haavoittuvuudet mahdollistavat haittaohjelman asentamisen, joka muuttaa nämä laitteet "botteiksi", eli heidän hallinnassaan oleviksi koneiksi, ilman että käyttäjät huomaavat sitä.Kun laitteet on saastutettu, niistä tulee osa koordinoitua verkostoa. Hakkerit voivat sitten käyttää tätä laitekokonaisuutta erilaisiin hyökkäyksiin. Bottiverkko voi kasvaa eksponentiaalisesti saastuttamalla yhä enemmän laitteita, mikä lisää sen haittavaikutusta.
Koskeeko tämä hyökkäys Ranskaa? Ovatko kotilaitteemme vaarassa?
Kyllä, Ranska on tämän kyberhyökkäyksen kohteena. FBI:n tutkimuksen ja Black Lotus Labsin tekemien tutkimusten mukaan yli 5 000 laitetta Ranskassa oli saastunut Raptor Train -bottiverkolla, mikä on noin 2 % maailmanlaajuisista infektioista. Nämä laitteet voivat sisältää reitittimiä, IP-kameroita, digitaalisia videonauhureita (DVR) tai verkkotallennusjärjestelmiä (NAS), joita käytetään usein kodeissa tai pienissä yrityksissä.Kotisi laitteet voivat olla vaarassa, jos ne ovat yhteydessä Internetiin, erityisesti jos ne käyttävät laitteita, jotka eivät ole saaneet viimeaikaisia tietoturvapäivityksiä. Vanhentuneet tai huonosti suojatut laitteet ovat hakkerien suosimia kohteita, jotka hyödyntävät haavoittuvuuksia. On siis suositeltavaa:
- Päivittää säännöllisesti kytketyt laitteet (reitittimet, kamerat jne.)
- Korvata laitteet, joiden tekninen tuki on päättynyt
- Käynnistää nämä laitteet säännöllisesti uudelleen mahdollisten infektioiden häiritsemiseksi
Nämä varotoimet auttavat rajoittamaan tunkeutumisriskejä, vaikka ne eivät takaa täydellistä suojaa tämän tyyppisiltä kehittyneiltä hyökkäyksiltä. Yleisesti ottaen tämän tyyppinen hyökkäys on käyttäjien vaikea havaita, koska laitteet toimivat normaalisti samalla kun kyberrikolliset käyttävät niitä salaa.
Mikä on hakkereiden konkreettinen tavoite?
Hakkereiden tavoitteet Raptor Train -bottiverkon kaltaisten hyökkäysten takana ovat moninaisia. Tässä on ei-tyhjentävä luettelo:- Kerätä arkaluonteisia tietoja: He vakoilevat saastuneita laitteita saadakseen luottamuksellisia tietoja hallituksilta, yrityksiltä ja yksityishenkilöiltä. Näitä tietoja voidaan käyttää kybervakoiluun tai myydä eteenpäin.
- Käynnistää massiivisia kyberhyökkäyksiä: Saastuneiden laitteiden hallinnan avulla hakkerit voivat suorittaa palvelunestohyökkäyksiä (DDoS), ylikuormittamalla palvelimia tai verkkosivustoja, jotta ne eivät ole käytettävissä.
- Tunkeutua kriittisiin infrastruktuureihin: He kohdistavat hyökkäyksiä herkkiin infrastruktuureihin, kuten sotilaallisiin, hallinnollisiin tai teollisiin laitoksiin. Tavoitteena on usein häiritä tai vaarantaa näitä elintärkeitä järjestelmiä.
- Luoda sisäänkäyntejä tulevia hyökkäyksiä varten: Pitämällä pitkäaikaisen pääsyn hakkerit voivat käyttää näitä laitteita muiden kyberhyökkäysten välittäjinä ilman, että uhrit huomaavat sitä.
Näin ollen nämä hakkerit pyrkivät saavuttamaan strategisia etuja vakoilemalla, häiritsemällä tai valmistautumalla tuleviin operaatioihin.