FBI は、世界中で 120 万台以上の IoT デバイスに影響を与えた大規模な ボットネット の解体に成功しました。そのうちの約 10% はドイツにありました。 Raptor Train と呼ばれるこのボットネットは、裁判所の判決 の後、米国司法省によって削除されました。 -人民-共和国-中国-国家)。ここで行われた措置は、ボットネットのペイロード サーバー、インフラストラクチャ、およびコマンド アンド コントロール (C2) サーバーへの IP トラフィックを遮断することでした。 FBI による特定のインフラストラクチャの乗っ取りを受けて、ボットネットは閉鎖されました。
2023 年半ば、Lumen Technologies の一部門である Black Lotus Labs が IoT ボットネットを発見し、警察に通報しました。 。 FBIの報告書によると、中国企業Integrity Technology Groupがボットネットの運用を担当していたという。マイクロソフトやクラウドストライクなどの大手企業は、この取り組みを中国政府支援のハッキング集団「亜麻台風」と関連付けている。
Integrity Technology Group は 6 月に、ドイツの約 19,000 台を含む、世界中で 260,000 台以上のルーター、カメラ、ネットワーク アクセス ポイント (NAS) を買収しました。 Asus、DrayTek、Hikvision、TP-Link など、多くの有名メーカーのデバイスがボットネットの標的になりました。デバイスの侵害はゼロデイ脆弱性によって可能になったのではなく、既知の欠陥 によって可能になりました。多くのメーカーは依然としてセキュリティ アップデートを適用しています。侵害されたデバイスは高度なインフラストラクチャによって制御されていました。
ボットネットの運用には 3 つの層がありました。感染したマシン上のマルウェア(レベル 1 と呼ばれる)はメモリ内に限定されており、再起動しても存続できないため、アクティブなボットの数は異なります。通常、侵害されたデバイスは約 17 日間ボットネットの一部でした。 4 年間で約 120 万台のデバイスが感染しました。 Black Lotus Labs は、ボットネットで使用されたマルウェアを Nosedive と名付けました。これは有名な Mirai コードに基づいており、ARM および x86 ハードウェア アーキテクチャと互換性があります。
このボットネットの主な目的は、米国と台湾の教育、電気通信、政府、軍の機関を標的にすることでした。ボットネットを実行していた C2 サーバーは部分的に研究者にアクセスできませんでしたが、それにもかかわらず、DDoS 攻撃の可能性を示す高度な特徴に気づきましたが、そのような攻撃は検証されませんでした。捜査当局は、このボットネットは、Cisco、IBM、Ivanti などの企業のハイエンドのハードウェアおよびソフトウェア システムに対する攻撃に使用され、これらの製品の弱点を利用し、ハッキングされた IoT デバイスの背後に隠れていたと考えています。