FBI 成功拆除了一个大型僵尸网络,该网络影响了全球超过 120 万台物联网设备,其中约 10% 在德国。该僵尸网络名为 Raptor Train,在[法院裁决]后被美国司法部拆除(https://www.justice.gov/opa/pr/court-authorized-operation-disrupts-worldwide-botnet-used -中华人民共和国-中华人民共和国)。这里采取的行动是切断僵尸网络有效负载服务器、基础设施以及命令和控制 (C2) 服务器的 IP 流量。在联邦调查局接管某些基础设施后,该僵尸网络被关闭。
2023 年中,Lumen Technologies 旗下部门 Black Lotus Labs 发现了 IoT 僵尸网络并通知了警方。据美国联邦调查局报道,该僵尸网络由一家中国公司诚信科技集团负责运营。微软和 CrowdStrike 等领先公司已将这一举措与中国国家资助的黑客组织 Flax Typhoon 联系起来。
Integrity Technology Group 6 月份在全球收购了超过 260,000 个路由器、摄像头和网络接入点 (NAS),其中约 19,000 个位于德国。来自华硕、DrayTek、海康威视和 TP-Link 等多家知名制造商的设备成为僵尸网络的目标。受感染的设备不是由零日漏洞造成的,而是由已知缺陷造成的许多制造商仍在打安全更新补丁。受感染的设备由复杂的基础设施控制。
僵尸网络的运作分为三层。活动机器人的数量各不相同,因为受感染计算机上的恶意软件(称为 1 级)受到内存限制,并且无法在重新启动后幸存。通常,受感染的设备在僵尸网络中存在的时间大约为 17 天。它在存在四年内感染了大约 120 万台设备。 Black Lotus Labs 将僵尸网络中使用的恶意软件命名为 Nosedive。它基于著名的 Mirai 代码,兼容 ARM 和 x86 硬件架构。
该僵尸网络的主要目标是针对美国和台湾的教育、电信、政府和军队机构。研究人员部分无法访问运行僵尸网络的 C2 服务器,但尽管如此,他们还是注意到了表明存在 DDoS 攻击可能性的高级特征,但此类攻击尚未得到验证。调查人员认为,该僵尸网络被用来对思科、IBM 和 Ivanti 等公司的高端硬件和软件系统进行攻击,利用这些产品的弱点并隐藏在被黑客入侵的物联网设备后面。