FBI는 전 세계적으로 120만 개 이상의 IoT 장치에 영향을 미친 대규모 봇넷을 성공적으로 해체했으며 그 중 약 10%가 독일에 있었습니다. Raptor Train이라고 불리는 봇넷은 법원 판결 이후 미국 법무부에 의해 폐쇄되었습니다. -인민공화국-중국-국가). 여기서 취한 조치는 봇넷의 페이로드 서버, 인프라, 명령 및 제어(C2) 서버에 대한 IP 트래픽을 차단하는 것이었습니다. FBI가 특정 인프라를 인수한 후 봇넷이 폐쇄되었습니다.
2023년 중반, Lumen Technologies 사업부인 Black Lotus Labs는 IoT 봇넷을 발견하고 경찰에 신고했습니다. . FBI 보고서에 따르면 중국 회사인 Integrity Technology Group이 봇넷 운영을 담당했습니다. Microsoft와 CrowdStrike를 포함한 주요 기업은 이 계획을 중국 정부가 후원하는 해킹 집단 Flax Typhoon과 연결했습니다.
Integrity Technology Group은 지난 6월 독일에서 약 19,000개를 포함하여 전 세계적으로 260,000개 이상의 라우터, 카메라 및 네트워크 액세스 포인트(NAS)를 인수했습니다. Asus, DrayTek, Hikvision, TP-Link 등 여러 유명 제조업체의 장치가 봇넷의 표적이 되었습니다. 손상된 장치는 제로데이 취약점이 아니라 알려진 결함으로 인해 가능해졌습니다. 많은 제조업체에서는 여전히 보안 업데이트를 패치하고 있습니다. 손상된 장치는 정교한 인프라에 의해 제어되었습니다.
봇넷의 작동은 세 가지 계층으로 구성되었습니다. 활성 봇의 수는 레벨 1이라고 불리는 감염된 시스템의 악성 코드가 메모리로 제한되어 재부팅 후에도 유지되지 않기 때문에 다양했습니다. 일반적으로 손상된 장치는 약 17일 동안 봇넷의 일부였습니다. 이 바이러스는 출시된 지 4년 동안 약 120만 대의 장치를 감염시켰습니다. Black Lotus Labs는 이 봇넷에 사용된 악성 코드의 이름을 Nosedive라고 명명했습니다. 유명한 Mirai 코드를 기반으로 하며 ARM 및 x86 하드웨어 아키텍처와 호환됩니다.
봇넷의 주요 목표는 미국과 대만의 교육, 통신, 정부, 군대 기관을 표적으로 삼는 것이었습니다. 봇넷을 실행한 C2 서버는 연구원들이 부분적으로 접근할 수 없었지만 그럼에도 불구하고 DDoS 공격 가능성을 나타내는 고급 특성을 발견했지만 그러한 공격은 확인되지 않았습니다. 조사관들은 이 봇넷이 Cisco, IBM, Ivanti 등 기업의 고급 하드웨어 및 소프트웨어 시스템에 대한 공격을 수행하는 데 사용되었으며, 해당 제품의 약점을 이용하고 해킹된 IoT 장치 뒤에 숨어 있었던 것으로 추정합니다.