Наймасштабніший ботнет в історії. Китай інфікував 260 тисяч пристроїв, які потім застосовувалися для атак на США та Тайвань.

Федеральне бюро розслідувань США повідомило про ліквідацію найбільшого з виявлених ботнетів, контрольованих Пекіном. Він залишався непоміченим протягом чотирьох років.

Ботнет під назвою Raptor Train складався, в основному, з різноманітних домашніх і офісних маршрутизаторів, систем відеоспостереження, мережевих накопичувачів та інших Інтернет-пристроїв. Дослідницька група Black Lotus Labs, що є підрозділом Lumen Technologies, спостерігає за Raptor Train з червня 2023 року. Вона виявила зараження понад 20 різними типами пристроїв, серед яких модеми та маршрутизатори таких брендів, як ActionTec PK5000, ASUS RT-*/GT-*/ZenWifi, TP-LINK, DrayTek Vigor, Tenda Wireless, Ruijie, Zyxel USG*, Ruckus Wireless, VNPT iGate та інші. До списку також увійшли IP-камери (D-LINK DCS-*, Hikvision, Mobotix, NUUO, AXIS, Panasonic), відеореєстратори Shenzhen TVT NVRs/DVRs та мережеві накопичувачі (QNAP серія TS, Fujitsu, Synology, Zyxel).

За останні чотири роки, за словами офіційних осіб США, 260 000 таких пристроїв пройшли через складну мережу, що дозволяла ботнету працювати ефективно та точно. За даними дослідників з Black Lotus Labs, на піку свого розвитку в червні 2023 року Raptor Train складався з понад 60 000 пристроїв, що робить його найбільшим державним ботнетом у Китаї, виявленим на сьогодні. Більш як половини заражених пристроїв Raptor Train були розташовані в Північній Америці, а ще 25 відсотків -- у Європі.

У спільній заяві, оприлюдненій ФБР, Cyber National Mission Force та Агентством національної безпеки США, зазначено, що компанія Integrity Technology Group, яка має зв'язки з Китаєм, здійснювала контроль над Raptor Train. Для управління ботнетом вона використовувала державні IP-адреси з мережі China Unicom у Пекіні. Дослідники та правоохоронці відстежили групу, що співпрацювала з Integrity Technology, і назвали її Flax Typhoon.

Black Lotus Labs виявила, що активність цієї групи була спрямована на військові структури, державні установи, вищі навчальні заклади, телекомунікаційні компанії, оборонну промисловість та інформаційні технології в США та на Тайвані. Наприклад, наприкінці грудня 2023 року оператори ботнету здійснили велике сканування, яке було націлене на військові об'єкти США, урядові органи, ІТ-постачальників та оборонну промислову базу. Дослідники також підкреслили, що ботнет мав можливість виконувати масштабні DDoS-атаки.

"Flax Typhoon був націлений на критично важливу інфраструктуру в США та за кордоном, від корпорацій і медіаорганізацій до університетів і державних установ. ... Вони використовували підключені до Інтернету пристрої, цього разу сотні тисяч пристроїв, щоб створити ботнет, який допоміг їм зламувати системи та викрадати конфіденційні дані. Дії Flax Typhoon завдали реальної шкоди його жертвам", -- заявив директор ФБР Крістофер Рей.

Рей також підтвердив, що коли ділки, що керували ботнетом Raptor Train, зрозуміли, що їх викрили, вони спробували перенести своїх ботів на нові сервери та навіть провели проти правоохоронців DDoS-атаку. З усім тим, правоохоронні органи провели низку санкціонованих судом операцій, які допомогли взяти під контроль інфраструктуру Raptor Train. Скомпрометовані пристрої було очищено від шкідливого програмного забезпечення.

Нагадаємо, що Raptor Train є другим китайським державним ботнетом, який був ліквідований американською владою цього року. У січні було знищено ботнет, який використовували китайські хакери з групи Volt Typhoon протягом більше року для поширення експлойтів.