FTB dünya üzrə 1,2 milyondan çox IoT cihazına təsir edən böyük botnet uğurla söküb, onların təxminən 10%-i Almaniyada olub. Raptor Train adlanan botnet [məhkəmə qərarından] sonra ABŞ Ədliyyə Nazirliyi tərəfindən ləğv edilib (https://www.justice.gov/opa/pr/court-authorized-operation-disrupts-worldwide-botnet-used -xalqlar-respublika-çin-dövlət). Burada görülən tədbir botnetin faydalı yük serverlərinə, infrastrukturuna və komanda və idarəetmə (C2) serverlərinə IP trafikini kəsmək idi. Bəzi infrastrukturların FTB tərəfindən ələ keçirilməsindən sonra botnet bağlanıb.
2023-cü ilin ortalarında Lumen Technologies-in bölməsi olan Black Lotus Labs IoT botnetini kəşf etdi və polisə xəbər verdi. . FTB-nin hesabatlarına görə, botnetin idarə edilməsindən məsul olan Çin şirkəti Integrity Technology Group idi. Microsoft və CrowdStrike daxil olmaqla aparıcı şirkətlər bu təşəbbüsü Çin dövlətinin maliyyələşdirdiyi Flax Typhoon haker kollektivi ilə əlaqələndiriblər.
Integrity Technology Group iyun ayında dünya üzrə 260.000-dən çox marşrutlaşdırıcı, kamera və şəbəkəyə giriş nöqtəsi (NAS), o cümlədən Almaniyada təxminən 19.000-i əldə edib. Asus, DrayTek, Hikvision və TP-Link kimi bir sıra tanınmış istehsalçıların cihazları botnetin hədəfinə çevrilib. Təhlükəli qurğular sıfır gün zəiflikləri ilə deyil, məlum qüsurlar sayəsində mümkün olub. bir çox istehsalçı hələ də təhlükəsizlik yeniləmələri ilə yamaqlayır. Təhlükəli qurğular mürəkkəb infrastruktur tərəfindən idarə olunurdu.
Botnetin işləməsi üç qatdan ibarət idi. Səviyyə 1 adlanan yoluxmuş maşınlardakı zərərli proqram yaddaşla məhdudlaşdığına görə aktiv botların sayı dəyişirdi və yenidən işə salındıqda sağ qalmayacaqdı. Tipik olaraq, təhlükəsi olan cihazlar təxminən 17 gün ərzində botnetin bir hissəsi idi. Mövcud olduğu dörd il ərzində təxminən 1,2 milyon cihazı yoluxdurdu. Black Lotus Labs botnetdə istifadə edilən zərərli proqramı Nosedive adlandırıb. O, məşhur Mirai koduna əsaslanır və ARM və x86 hardware arxitekturalarına uyğun gəlir.
Botnetin əsas məqsədi təhsil, telekommunikasiya, hökumət və ordu sahələrində ABŞ və Tayvan institutlarını hədəfə almaq idi. Botneti idarə edən C2 serverləri tədqiqatçılar üçün qismən əlçatmaz idi, lakin buna baxmayaraq, onlar DDoS hücumlarının mümkünlüyünü göstərən qabaqcıl xüsusiyyətləri müşahidə etdilər, lakin belə hücumlar yoxlanılmadı. Müstəntiqlər hesab edirlər ki, botnet Cisco, IBM və Ivanti daxil olmaqla şirkətlərin yüksək səviyyəli aparat və proqram sistemlərinə hücumlar həyata keçirmək üçün istifadə edilib, həmin məhsulların zəif cəhətlərindən istifadə edib və sındırılmış IoT cihazlarının arxasında gizlənib.
[Kibertəhlükəsizlik Bootcamp]ımızda (https://codelabsacademy.com/courses/cybersecurity) Kiber Təhlükəsizlik haqqında ətraflı məlumat əldə edin.