Раскрыта крупная киберсеть: китайские хакеры управляют десятками тысяч IoT-устройств

Кибербезопасные лаборатории Lumen's Black Lotus Labs выявили обширную сеть заражения, охватывающую устройства для дома и малых офисов, а также другие IoT-устройства. Ботнет, получивший название Raptor Train, активен с мая 2020 года и достиг пика активности в июне 2023 года, вовлекая в свою сеть до 60 000 устройств.

Согласно отчету, операторы Raptor Train используют трехуровневую структуру управления. На первом уровне находятся зараженные устройства. На втором уровне — серверы, которые координируют распространение вредоносного ПО и управляют командами. На третьем уровне располагаются узлы управления и приложение Sparrow, которое координирует все операции в сети.

Атака затрагивает разнообразные устройства от множества производителей, включая, но не ограничиваясь, ActionTec, ASUS и Hikvision. Большинство компрометированных устройств обнаружено в США, Тайване и Вьетнаме. Интересно, что средний «возраст» такого устройства в сети составляет всего 17.44 дня, что указывает на высокую динамику перезаражения.

В различных кампаниях, которые проводились с использованием этого ботнета, применялись разные доменные имена для координации атак. Одна из последних, кампания Oriole, использовала доменное имя w8510.com для управления зараженными устройствами и координации загрузки последующих стадий вредоносных скриптов.