ՀԴԲ-ն հաջողությամբ ապամոնտաժեց մեծ botnet, որը ազդել է ավելի քան 1,2 միլիոն IoT սարքերի վրա ամբողջ աշխարհում, որոնց մոտ 10%-ը գտնվում էր Գերմանիայում: Բոտցանցը, որը կոչվում է Raptor Train, հեռացվել է ԱՄՆ արդարադատության նախարարության կողմից [դատարանի որոշումից] հետո (https://www.justice.gov/opa/pr/court-authorized-operation-disrupts-worldwide-botnet-used): -ժողովուրդներ-հանրապետություն-Չինաստան-պետություն): Այստեղ ձեռնարկված գործողությունը եղել է դեպի բոտնետի օգտակար սերվերների, ենթակառուցվածքի և հրամանի և կառավարման (C2) սերվերների IP տրաֆիկի անջատումը: Բոտցանցը փակվել է ՀԴԲ-ի կողմից որոշակի ենթակառուցվածքների գրավումից հետո:
2023 թվականի կեսերին Black Lotus Labs, Lumen Technologies-ի ստորաբաժանումը, հայտնաբերեց IoT բոտնետը և ծանուցեց ոստիկանությանը։ . Համաձայն ՀԴԲ-ի զեկույցների, բոտնետի շահագործման համար պատասխանատու է չինական Integrity Technology Group ընկերությունը: Առաջատար ընկերությունները, ներառյալ Microsoft-ը և CrowdStrike-ը, նախաձեռնությունը կապում են չինական պետության կողմից հովանավորվող հաքերային Flax Typhoon-ի հետ:
Integrity Technology Group-ը հունիսին ձեռք է բերել ավելի քան 260,000 երթուղիչներ, տեսախցիկներ և ցանցային մուտքի կետեր (NAS), այդ թվում մոտ 19,000-ը՝ Գերմանիայում: Բոտնետի թիրախում են հայտնվել մի շարք հայտնի արտադրողների սարքեր, ինչպիսիք են Asus-ը, DrayTek-ը, Hikvision-ը և TP-Link-ը: Վտանգված սարքերը հնարավոր չեն դարձել զրոյական օրվա խոցելիության պատճառով, այլ ավելի շուտ հայտնի թերությունների, որը շատ արտադրողներ դեռ շարունակում են անվտանգության թարմացումները: Վնասված սարքերը կառավարվում էին բարդ ենթակառուցվածքով:
Բոտնետի աշխատանքը երեք շերտ ուներ. Ակտիվ բոտերի թիվը տարբերվում էր, քանի որ վարակված մեքենաների չարամիտ ծրագիրը, որը կոչվում է մակարդակ 1, սահմանափակված էր հիշողությամբ և չէր դիմանա վերաբեռնման ժամանակ: Սովորաբար, վտանգված սարքերը մոտավորապես 17 օր եղել են բոտնետի մաս: Իր գոյության չորս տարիների ընթացքում այն վարակել է շուրջ 1,2 միլիոն սարք: Black Lotus Labs-ը բոտնետում օգտագործվող չարամիտ ծրագիրը անվանել է Nosedive: Այն հիմնված է հայտնի Mirai կոդի վրա և համատեղելի է ARM և x86 ապարատային ճարտարապետությունների հետ:
Բոտնետի հիմնական նպատակն էր թիրախավորել ԱՄՆ-ի և Թայվանի հաստատությունները կրթության, հեռահաղորդակցության, կառավարության և ռազմական ոլորտներում: C2 սերվերները, որոնք աշխատում էին բոտնետով, մասամբ անհասանելի էին հետազոտողների համար, բայց չնայած դրան, նրանք նկատեցին առաջադեմ բնութագրեր, որոնք ցույց կտան DDoS հարձակումների հավանականությունը, բայց այդպիսի հարձակումներ չեն ստուգվել: Քննիչները կարծում են, որ բոտնեթն օգտագործվել է բարձրակարգ ապարատային և ծրագրային համակարգերի վրա հարձակումներ իրականացնելու համար ընկերությունների, այդ թվում՝ Cisco-ի, IBM-ի և Ivanti-ի կողմից՝ օգտվելով այդ ապրանքների թույլ կողմերից և թաքնվելով կոտրված IoT սարքերի հետևում:
Իմացեք ավելին Կիբերանվտանգության մասին մեր [Cyber Security Bootcamp]-ում (https://codelabsacademy.com/courses/cybersecurity):