Самый большой ботнет в истории. Китай заразил 260 тысяч гаджетов — их использовали для атак на США и Тайвань
Ботнет Raptor Train состоял преимущественно из небольших офисных и домашних офисных маршрутизаторов, камер наблюдения, сетевых хранилищ и других устройств, подключенных к Интернету. Black Lotus Labs, исследовательское подразделение Lumen Technologies, отслеживающее Raptor Train с июня 2023 года, обнаружило заражение более 20 различных типов устройств. Это, в частности, модемы и маршрутизаторы (ActionTec PK5000, ASUS RT-*/GT-*/ZenWifi, TP-LINK, DrayTek Vigor, Tenda Wireless, Ruijie, Zyxel USG*, Ruckus Wireless, VNPT iGate
За последние четыре года, по словам официальных лиц США, 260 000 таких устройств прошли через сложную сеть, которая позволяла ботнету работать эффективно и точно. По данным исследователей из Black Lotus Labs, на пике своего развития в июне 2023 года Raptor Train состоял из более 60 000 устройств, что делает его крупнейшим государственным ботнетом в Китае, обнаруженным на сегодняшний день. Более половины зараженных устройств Raptor Train были расположены в Северной Америке, а еще 25 процентов — в Европе.
В совместном сообщении, опубликованном ФБР, Cyber National Mission Force и Агентством национальной безопасности США, говорится, что контроль и управление над Raptor Train осуществляла компания Integrity Technology Group, связанная с Китайской Народной Республикой. Компания использовала контролируемые государством IP-адреса China Unicom Beijing Province Network для управления ботнетом. Исследователи и правоохранительные органы отслеживали команду, которая работала с Integrity Technology, как группировку Flax Typhoon.
Black Lotus Labs обнаружила, что деятельность группы была сосредоточена на военных, правительственных целях, высших учебных заведениях, телекоммуникациях, оборонно-промышленной базе и информационных технологиях в США и на Тайване. Например, в конце декабря 2023 года операторы ботнета провели масштабное сканирование, нацеленное на военных США, правительство США, IT-провайдеров и ОПБ. Исследователи также отметили, что ботнет имел потенциал для проведения огромных DDoS-атак.
«Flax Typhoon был нацелен на критически важную инфраструктуру в США и за рубежом, от корпораций и медиаорганизаций до университетов и государственных учреждений. … Они использовали подключенные к Интернету устройства, на этот раз сотни тысяч устройств, чтобы создать ботнет, который помог им взламывать системы и похищать конфиденциальные данные. Действия Flax Typhoon нанесли реальный ущерб его жертвам», — заявил директор ФБР Кристофер Рэй.
Рэй также подтвердил, что когда дельцы, управлявшие ботнетом Raptor Train, поняли, что их разоблачили, они попытались перенести своих ботов на новые серверы и даже провели против правоохранителей DDoS-атаку. Тем не менее, правоохранительные органы провели ряд санкционированных судом операций, которые помогли взять под контроль инфраструктуру Raptor Train. Скомпрометированные устройства были очищены от вредоносного программного обеспечения.
Напомним, Raptor Train — второй китайский государственный ботнет, который власти США уничтожили в этом году. В январе был ликвидирован ботнет, который китайские хакеры из группы Volt Typhoon использовали более года как платформу для распространения эксплойтов.
