ФБР успешно ликвидировало крупный ботнет, который затронул более 1,2 миллиона устройств Интернета вещей по всему миру, около 10% из которых находились в Германии. Ботнет под названием Raptor Train был закрыт Министерством юстиции США после решения суда. -народ-республика-китай-государство). Принятые здесь меры заключались в отключении IP-трафика к серверам полезной нагрузки, инфраструктуре и серверам управления (C2) ботнета. Ботнет был закрыт после захвата ФБР некоторых инфраструктур.
В середине 2023 года Black Lotus Labs, подразделение Lumen Technologies, обнаружило ботнет IoT и уведомило полицию. . По данным ФБР, за эксплуатацию ботнета отвечала китайская компания Integrity Technology Group. Ведущие компании, включая Microsoft и CrowdStrike, связали эту инициативу с спонсируемым государством китайским хакерским коллективом Flax Typhoon.
В июне Integrity Technology Group приобрела более 260 000 маршрутизаторов, камер и точек доступа к сети (NAS) по всему миру, в том числе около 19 000 в Германии. Целью ботнета стали устройства ряда известных производителей, таких как Asus, DrayTek, Hikvision и TP-Link. Взлом устройств стал возможным не из-за уязвимостей нулевого дня, а из-за известных недостатков, которые многие производители все еще устанавливают обновления безопасности. Скомпрометированные устройства контролировались сложной инфраструктурой.
Работа ботнета имела три уровня. Число активных ботов варьировалось, поскольку вредоносное ПО на зараженных машинах, называемое уровнем 1, было ограничено объемом памяти и не выживало при перезагрузке. Обычно взломанные устройства находились в составе ботнета примерно 17 дней. За четыре года своего существования он заразил около 1,2 миллиона устройств. Black Lotus Labs назвала вредоносное ПО, используемое в ботнете, Nosedive. Он основан на знаменитом коде Mirai и совместим с аппаратными архитектурами ARM и x86.
Основная цель ботнета заключалась в атаке на учреждения образования, телекоммуникаций, правительства и армии США и Тайваня. Серверы C2, на которых работал ботнет, были частично недоступны исследователям, но, несмотря на это, они заметили расширенные характеристики, которые указывали бы на возможность DDoS-атак, однако ни одна такая атака не была подтверждена. Следователи полагают, что ботнет использовался для проведения атак на высокопроизводительные аппаратные и программные системы таких компаний, как Cisco, IBM и Ivanti, используя слабые места этих продуктов и прячась за взломанными устройствами IoT.