Das FBI hat erfolgreich ein großes Botnetz zerschlagen, das mehr als 1,2 Millionen IoT-Geräte weltweit betraf, davon etwa 10 % in Deutschland. Das Botnetz mit dem Namen Raptor Train wurde vom US-Justizministerium nach einem Gerichtsurteil abgeschaltet -Volksrepublik-China-Staat). Die hier ergriffene Maßnahme bestand darin, den IP-Verkehr zu den Nutzlastservern, der Infrastruktur und den Befehls- und Kontrollservern (C2) des Botnetzes zu unterbrechen. Das Botnetz wurde nach der Übernahme bestimmter Infrastrukturen durch das FBI geschlossen.
Mitte 2023 entdeckte Black Lotus Labs, eine Abteilung von Lumen Technologies, das IoT-Botnetz und benachrichtigte die Polizei . Laut FBI-Berichten war die Integrity Technology Group, ein chinesisches Unternehmen, für den Betrieb des Botnetzes verantwortlich. Führende Unternehmen wie Microsoft und CrowdStrike haben die Initiative mit dem staatlich geförderten chinesischen Hackerkollektiv Flax Typhoon in Verbindung gebracht.
Die Integrity Technology Group hat im Juni weltweit mehr als 260.000 Router, Kameras und Netzwerkzugangspunkte (NAS) erworben, davon rund 19.000 in Deutschland. Geräte zahlreicher bekannter Hersteller wie Asus, DrayTek, Hikvision und TP-Link waren Ziel des Botnets. Die kompromittierten Geräte wurden nicht durch Zero-Day-Schwachstellen ermöglicht, sondern durch bekannte Schwachstellen. Viele Hersteller patchen immer noch mit Sicherheitsupdates. Die kompromittierten Geräte wurden durch eine hochentwickelte Infrastruktur gesteuert.
Der Betrieb des Botnetzes erfolgte auf drei Ebenen. Die Anzahl der aktiven Bots schwankte, da die Malware auf infizierten Computern, Level 1 genannt, auf den Speicher beschränkt war und einen Neustart nicht überlebte. Typischerweise waren kompromittierte Geräte etwa 17 Tage lang Teil des Botnetzes. In den vier Jahren seines Bestehens infizierte es rund 1,2 Millionen Geräte. Black Lotus Labs hat die im Botnetz verwendete Malware Nosedive genannt. Es basiert auf dem berühmten Mirai-Code und ist mit ARM- und x86-Hardwarearchitekturen kompatibel.
Das Hauptziel des Botnetzes bestand darin, US-amerikanische und taiwanesische Institutionen in den Bereichen Bildung, Telekommunikation, Regierung und Militär anzugreifen. Die C2-Server, auf denen das Botnetz lief, waren für die Forscher teilweise nicht zugänglich. Dennoch stellten sie fortgeschrittene Merkmale fest, die auf die Möglichkeit von DDoS-Angriffen hindeuteten, es wurden jedoch keine derartigen Angriffe verifiziert. Die Ermittler gehen davon aus, dass das Botnetz für Angriffe auf High-End-Hardware- und Softwaresysteme von Unternehmen wie Cisco, IBM und Ivanti genutzt wurde, wobei Schwachstellen in diesen Produkten ausgenutzt und sich hinter gehackten IoT-Geräten versteckt wurden.