Getty Images
Das FBI hat ein riesiges Netzwerk kompromittierter Geräte zerschlagen, das von vom chinesischen Staat gesponserten Hackern vier Jahre lang für Angriffe auf Regierungsbehörden, Telekommunikationsunternehmen, Rüstungsunternehmen und andere Ziele in den USA und Taiwan genutzt wurde.
Das Botnetz bestand hauptsächlich aus Routern für kleine Büros und Heimbüros, Überwachungskameras, NAS-Geräten und anderen internetfähigen Geräten auf der ganzen Welt. In den letzten vier Jahren, so US-Behörden, sind 260.000 solcher Geräte durch das hochentwickelte Netzwerk gelaufen, das in drei Ebenen organisiert ist, die es dem Botnetz ermöglichen, effizient und präzise zu arbeiten. Auf seinem Höhepunkt im Juni 2023 bestand Raptor Train, so der Name des Botnetzes, laut Forschern von Black Lotus Labs aus mehr als 60.000 gekaperten Geräten und ist damit das größte bisher entdeckte chinesische Staatsbotnetz.
Das Haus niederbrennen
Raptor Train ist das zweite vom chinesischen Staat betriebene Botnetz, das die US-Behörden dieses Jahr abgeschaltet haben. Im Januar erteilten Strafverfolgungsbeamte heimlich Befehle zur Desinfektion von IoT-Geräten, die von der chinesischen Regierung unterstützte Hacker ohne das Wissen der Gerätebesitzer übernommen hatten. Die chinesischen Hacker, die zu einer als Volt Typhoon bekannten Gruppe gehören, nutzten das Botnetz über ein Jahr lang als Plattform, um Exploits zu verbreiten, die sich tief in die Netzwerke der Zielpersonen eingruben. Da die Angriffe anscheinend von IP-Adressen mit gutem Ruf ausgehen, werden sie von den Netzwerksicherheitsmaßnahmen weniger genau unter die Lupe genommen, was die Bots zu einem idealen Übermittlungsproxy macht. Auch russische Staatshacker wurden dabei erwischt, wie sie zu denselben Zwecken große IoT-Botnetze zusammenstellten.
Ein Beratung In einer am Mittwoch gemeinsam vom FBI, der Cyber National Mission Force und der National Security Agency veröffentlichten Erklärung hieß es, dass das in China ansässige Unternehmen Integrity Technology Group Raptor Train kontrolliert und verwaltet. Das Unternehmen habe Verbindungen zur Volksrepublik China, sagten Beamte. Das Unternehmen habe auch die staatlich kontrollierten IP-Adressen des China Unicom Beijing Province Network verwendet, um das Botnetz zu kontrollieren und zu verwalten. Forscher und Strafverfolgungsbehörden verfolgen die staatlich kontrollierte chinesische Gruppe, die mit Integrity Technology als Flax Typhoon zusammengearbeitet hat. Mehr als die Hälfte der infizierten Raptor Train-Geräte befanden sich in Nordamerika und weitere 25 Prozent in Europa.
IC3.gov
IC3.gov
„Flax Typhoon zielte auf kritische Infrastruktur in den USA und im Ausland ab, auf alle, von Unternehmen und Medienorganisationen bis hin zu Universitäten und Regierungsbehörden“, sagte FBI-Direktor Christopher Wray. sagte Mittwoch am Aspen Cyber-Gipfel. „Wie Volt Typhoon nutzten sie mit dem Internet verbundene Geräte, diesmal Hunderttausende davon, um ein Botnetz zu erstellen, mit dessen Hilfe sie Systeme kompromittieren und vertrauliche Daten exfiltrieren konnten.“ Er fügte hinzu: „Die Aktionen von Flax Typhoon haben seinen Opfern echten Schaden zugefügt, die wertvolle Zeit aufwenden mussten, um das Chaos zu beseitigen.“
