Федеральне бюро розслідувань США повідомило про ліквідацію найбільшого з виявлених ботнетів, контрольованих Пекіном. Він залишався непоміченим протягом чотирьох років.

Ботнет Raptor Train складався переважно з невеликих офісних і домашніх офісних маршрутизаторів, камер спостереження, мережевих сховищ та інших пристроїв, підключених до Інтернету. Black Lotus Labs, дослідницький підрозділ Lumen Technologies, що відстежує Raptor Train з червня 2023 року, виявив зараження понад 20 різних типів пристроїв. Це, зокрема, модеми та маршрутизатори (ActionTec PK5000, ASUS RT-*/GT-*/ZenWifi, TP-LINK, DrayTek Vigor, Tenda Wireless, Ruijie, Zyxel USG*, Ruckus Wireless, VNPT iGate тощо), IP-камери (D-LINK DCS-*, Hikvision, Mobotix, NUUO, AXIS, Panasonic), відеореєстратори Shenzhen TVT NVRs/DVRs, мережеві сховища (QNAP серія TS, Fujitsu, Synology, Zyxel).

За останні чотири роки, за словами офіційних осіб США, 260 000 таких пристроїв пройшли через складну мережу, що дозволяла ботнету працювати ефективно та точно. За даними дослідників з Black Lotus Labs, на піку свого розвитку в червні 2023 року Raptor Train складався з понад 60 000 пристроїв, що робить його найбільшим державним ботнетом у Китаї, виявленим на сьогодні. Більш як половини заражених пристроїв Raptor Train були розташовані в Північній Америці, а ще 25 відсотків — у Європі.

У спільному повідомленні, опублікованому ФБР, Cyber National Mission Force та Агентством національної безпеки США, йдеться, що контроль і управління над Raptor Train здійснювала компанія Integrity Technology Group, пов’язана з Китайською Народною Республікою. Компанія використовувала контрольовані державою IP-адреси China Unicom Beijing Province Network для керування ботнетом. Дослідники та правоохоронні органи відстежували команду, яка працювала з Integrity Technology, як угрупування Flax Typhoon.

Black Lotus Labs виявила, що діяльність групи була зосереджена на військових, урядових цілях, вищих навчальних закладах, телекомунікаціях, оборонно-промисловій базі та інформаційних технологіях у США та на Тайвані. Наприклад, наприкінці грудня 2023 року оператори ботнету провели масштабне сканування, націлене на військових США, уряд США, ІТ-провайдерів і ОПБ. Дослідники також відзначили, що ботнет мав потенціал для проведення величезних DDoS-атак.

«Flax Typhoon був націлений на критично важливу інфраструктуру в США та за кордоном, від корпорацій і медіаорганізацій до університетів і державних установ. … Вони використовували підключені до Інтернету пристрої, цього разу сотні тисяч пристроїв, щоб створити ботнет, який допоміг їм зламувати системи та викрадати конфіденційні дані. Дії Flax Typhoon завдали реальної шкоди його жертвам», — заявив директор ФБР Крістофер Рей.

Рей також підтвердив, що коли ділки, що керували ботнетом Raptor Train, зрозуміли, що їх викрили, вони спробували перенести своїх ботів на нові сервери та навіть провели проти правоохоронців DDoS-атаку. З усім тим, правоохоронні органи провели низку санкціонованих судом операцій, які допомогли взяти під контроль інфраструктуру Raptor Train. Скомпрометовані пристрої було очищено від шкідливого програмного забезпечення.

Нагадаємо, Raptor Train — другий китайський державний ботнет, який влада США знищила цього року. В січні було ліквідовано ботнет, який китайські хакери з групи Volt Typhoon використовували понад рік як платформу для розповсюдження експлойтів.

Источник: techno.nv.ua