L’FBI ha smantellato con successo una vasta botnet che ha colpito più di 1,2 milioni di dispositivi IoT in tutto il mondo, circa il 10% dei quali in Germania. La botnet, chiamata Raptor Train, è stata disattivata dal Dipartimento di Giustizia degli Stati Uniti dopo una sentenza del tribunale. L’azione intrapresa è stata quella di interrompere il traffico IP verso i server di payload della botnet, le infrastrutture e i server di comando e controllo (C2). La botnet è stata chiusa a seguito della presa di controllo di alcune infrastrutture da parte dell’FBI.
A metà del 2023, Black Lotus Labs, una divisione di Lumen Technologies, ha scoperto la botnet IoT e ha informato la polizia. Secondo i rapporti dell’FBI, Integrity Technology Group, un’azienda cinese, era responsabile dell’operazione della botnet. Aziende leader come Microsoft e CrowdStrike hanno collegato l’iniziativa al collettivo di hacker sponsorizzato dallo stato cinese Flax Typhoon.
Il Gruppo Tecnologico Integrity ha acquisito oltre 260.000 router, telecamere ed access point in tutto il mondo a giugno, compresi circa 19.000 in Germania. I dispositivi di diversi produttori noti, come Asus, DrayTek, Hikvision e TP-Link, sono stati presi di mira dal botnet. I dispositivi compromessi non sono stati resi vulnerabili da falle zero-day, ma piuttosto da vulnerabilità conosciute che molti produttori stanno ancora correggendo con aggiornamenti di sicurezza. I dispositivi compromessi erano controllati da un’infrastruttura sofisticata.
Il funzionamento della botnet aveva tre livelli. Il numero di bot attivi variava perché il malware sui dispositivi infetti, chiamato livello 1, era limitato alla memoria RAM e non sopravviveva a un riavvio. Tipicamente, i dispositivi compromessi facevano parte della botnet per circa 17 giorni. Ha infettato circa 1,2 milioni di dispositivi nei suoi quattro anni di esistenza. Black Lotus Labs ha chiamato il malware utilizzato nella botnet Nosedive. È basato sul famoso codice Mirai ed è compatibile con le architetture hardware ARM e x86.
Il problema in questi casi per quanto riguarda gli access point risiede nella spesso, mancanza di firmware aggiornati soprattutto per i modelli meno recenti.
