FBI, yaklaşık %10'u Almanya'da olmak üzere dünya çapında 1,2 milyondan fazla IoT cihazını etkileyen büyük bir botnet'i başarıyla ortadan kaldırdı. Raptor Train adı verilen botnet, mahkeme kararının ardından ABD Adalet Bakanlığı tarafından kaldırıldı. -halk-cumhuriyeti-çin-devleti). Burada yapılan işlem, botnet'in yük sunucularına, altyapısına ve komuta ve kontrol (C2) sunucularına giden IP trafiğini kesmekti. Botnet, belirli altyapıların FBI tarafından ele geçirilmesinin ardından kapatıldı.
2023 yılının ortalarında, Lumen Technologies'in bir bölümü olan Black Lotus Labs, IoT botnet'ini keşfetti ve polise haber verdi. . FBI raporlarına göre, botnet'in işletilmesinden Çinli bir şirket olan Integrity Technology Group sorumluydu. Microsoft ve CrowdStrike gibi önde gelen şirketler, girişimi Çin devleti destekli bilgisayar korsanlığı topluluğu Flax Typhoon'a bağladı.
Integrity Technology Group, Haziran ayında dünya çapında 260.000'den fazla yönlendirici, kamera ve ağ erişim noktası (NAS) satın aldı; bunların yaklaşık 19.000'i Almanya'daydı. Asus, DrayTek, Hikvision ve TP-Link gibi çok sayıda tanınmış üreticinin cihazları botnet tarafından hedef alındı. Güvenliği ihlal edilen cihazlar, sıfır gün güvenlik açıkları nedeniyle değil, bunun yerine bilinen kusurlar tarafından mümkün kılındı. birçok üretici hala güvenlik güncellemeleriyle yama yapıyor. Güvenliği ihlal edilen cihazlar gelişmiş altyapı tarafından kontrol ediliyordu.
Botnet'in işleyişi üç katmandan oluşuyordu. Etkin botların sayısı değişiklik gösteriyordu çünkü virüs bulaşmış makinelerdeki seviye 1 olarak adlandırılan kötü amaçlı yazılım bellekle sınırlıydı ve yeniden başlatmadan sonra hayatta kalamazdı. Tipik olarak, ele geçirilen cihazlar yaklaşık 17 gün boyunca botnet'in parçasıydı. Dört yıllık varlığı boyunca yaklaşık 1,2 milyon cihaza bulaştı. Black Lotus Labs, botnet'te kullanılan kötü amaçlı yazılımı Nosedive olarak adlandırdı. Ünlü Mirai kodunu temel alır ve ARM ve x86 donanım mimarileriyle uyumludur.
Botnet'in ana hedefi eğitim, telekomünikasyon, hükümet ve ordu alanlarındaki ABD ve Tayvan kurumlarını hedef almaktı. Botnet'i çalıştıran C2 sunucularına araştırmacılar kısmen erişemiyordu ancak buna rağmen DDoS saldırılarının olasılığını işaret eden gelişmiş özellikleri fark ettiler ancak bu tür saldırılar doğrulanmadı. Müfettişler, botnet'in Cisco, IBM ve Ivanti gibi şirketlerin üst düzey donanım ve yazılım sistemlerine karşı saldırılar gerçekleştirmek, bu ürünlerdeki zayıflıklardan faydalanmak ve saldırıya uğramış IoT cihazlarının arkasına saklanmak için kullanıldığına inanıyor.