China a infectat 260.000 de gadgeturi folosite pentru atacuri asupra SUA

În ultimii patru ani, conform oficialilor din SUA, 260.000 astfel de dispozitive au fost folosite într-o rețea complexă care a permis botnet-ului să funcționeze eficient și cu precizie. Potrivit cercetătorilor de la Black Lotus Labs, în iunie 2023, la apogeul dezvoltării sale, Raptor Train includea peste 60.000 dispozitive, devenind cel mai mare botnet guvernamental din China descoperit până acum. Peste jumătate din dispozitivele infectate erau situate în America de Nord, iar încă 25% în Europa, relatează nv.ua.

Într-un comunicat comun publicat de FBI, Cyber National Mission Force și Agenția de Securitate Națională a SUA (NSA), se menționează că botnet-ul Raptor Train era controlat de Integrity Technology Group, o companie legată de Republica Populară Chineză. Această companie folosea adrese IP administrate de China Unicom Beijing Province Network pentru a gestiona botnet-ul. Cercetătorii și forțele de ordine au urmărit gruparea care colabora cu Integrity Technology, cunoscută sub numele de Flax Typhoon.

Black Lotus Labs a descoperit că activitățile grupului erau concentrate asupra obiectivelor militare și guvernamentale, instituțiilor de învățământ superior, telecomunicațiilor, bazei industriale de apărare și sectorului IT din SUA și Taiwan. De exemplu, la sfârșitul lunii decembrie 2023, operatorii botnet-ului au desfășurat o scanare masivă care viza armata și Guvernul SUA, furnizorii de IT și sectorul de apărare. Cercetătorii au remarcat că botnet-ul avea potențialul de a lansa atacuri DDoS de mari proporții.

„Flax Typhoon a vizat infrastructura critică din SUA și din alte țări, de la corporații și organizații media până la universități și agenții guvernamentale. … Au folosit dispozitive conectate la internet, de data aceasta sute de mii de dispozitive, pentru a crea un botnet care le-a permis să compromită sisteme și să fure date confidențiale. Acțiunile Flax Typhoon au provocat daune reale victimelor lor”, a declarat directorul FBI, Christopher Wray.

Wray a confirmat, de asemenea, că atunci când operatorii botnet-ului Raptor Train au realizat că au fost descoperiți, au încercat să-și mute boții pe alte servere și chiar au lansat un atac DDoS asupra autorităților. Cu toate acestea, forțele de ordine au desfășurat o serie de operațiuni autorizate de instanță, care au ajutat la preluarea controlului asupra infrastructurii Raptor Train. Dispozitivele compromise au fost curățate de software-ul malițios.

Amintim că Raptor Train este al doilea botnet guvernamental chinez distrus de autoritățile SUA în acest an. În ianuarie, a fost eliminat un botnet pe care hackerii chinezi din gruparea Volt Typhoon l-au folosit timp de mai bine de un an ca platformă pentru răspândirea exploit-urilor.