L’FBI e gli esperti di cybersecurity hanno fermato il botnet “Raptor Train”
Il 18 settembre 2024, l’FBI e gli esperti di cybersecurity hanno interrotto un botnet di massa chiamato “Raptor Train” che ha infezionato oltre 260.000 dispositivi di rete, tra cui router e telecamere IP. Questo botnet, originario della Cina, è stato utilizzato per attaccare infrastrutture critiche negli Stati Uniti e in altri paesi. In questo articolo, esploreremo come funziona il botnet “Raptor Train”, chi sono gli autori dietro di esso e come proteggersi dalle minacce di cybersecurity.
Origini e Funzionamento del Botnet
Il botnet “Raptor Train” è stato attivato nel maggio 2020 e sembra essere stato in attività per quattro anni prima di essere scoperto. Gli esperti di Black Lotus Labs, la divisione di ricerca e operazioni di Lumen Technologies, hanno scoperto il botnet mentre investigavano su router compromessi.
Il botnet è composto da tre livelli di attività:
- Tier 1: Task Management – Questo livello si occupa di inviare compiti ai dispositivi infetti.
- Tier 2: Exploitation/Payload Management – Questo livello gestisce le attività di sfruttamento e l’invio dei payload.
- Tier 3: Command and Control (C2) – Questo livello gestisce i sistemi di comando e controllo.
Payload e Attacchi
Il payload principale utilizzato dal botnet è una variante del malware Mirai, noto come Nosedive, progettato per attacchi di tipo DDoS (Distributed Denial-of-Service). Tuttavia, nonostante la presenza di questo payload, il botnet non è stato osservato mentre eseguiva attacchi DDoS.
Dimensioni e Diffusione
Il botnet “Raptor Train” ha raggiunto la sua massima espansione nel giugno 2023, controllando oltre 60.000 dispositivi. Attualmente, gli esperti di Black Lotus Labs stanno monitorando circa lo stesso numero di dispositivi infetti, con una variazione di poche migliaia da agosto in poi.
Collegamenti con la Cina e gli Stati Sponsorizzati
L’FBI ha collegato il botnet “Raptor Train” ai hacker statali cinesi, specificamente al gruppo Flax Typhoon. Il controllo del botnet è stato esercitato attraverso la società cinese Integrity Technology Group (Integrity Tech) utilizzando indirizzi IP di China Unicom Beijing Province Network.
Operazioni dell’FBI
Per interrompere il botnet, l’FBI ha eseguito operazioni autorizzate dalla corte che hanno portato alla presa di controllo dell’infrastruttura del botnet. In risposta, il gruppo Flax Typhoon ha tentato di migrare i dispositivi infetti su nuovi server e ha condotto un attacco DDoS contro l’FBI.
Suggerimenti e Consigli per la Protezione
Per proteggersi dalle minacce di questo tipo, è essenziale adottare una serie di misure di sicurezza:
- Aggiornamenti dei Firmware: Assicurarsi che i firmware dei router e delle telecamere IP siano sempre aggiornati con le patch di sicurezza più recenti.
- Password Forti: Utilizzare password forti e uniche per ogni dispositivo di rete.
- Monitoraggio dei Log: Monitorare regolarmente i log dei dispositivi per rilevare eventuali attività sospette.
- Firewall e Antivirus: Utilizzare firewall e antivirus avanzati per bloccare accessi non autorizzati e rilevare malware.
- Backup dei Dati: Eseguire regolarmente backup dei dati importanti per poter ripristinare i sistemi in caso di un attacco.
- Utilizzo di VPN: Utilizzare VPN per criptare i dati in transito e proteggere la connessione internet.
- Monitoraggio dei Servizi di Sicurezza: Collaborare con i servizi di sicurezza per ricevere aggiornamenti e avvisi su minacce specifiche.
Il botnet “Raptor Train” rappresenta una minaccia significativa per la sicurezza delle reti, dimostrando come i gruppi hacker statali possano utilizzare dispositivi domestici e commerciali per attaccare infrastrutture critiche. Adottando le misure di sicurezza sopra elencate, è possibile ridurre il rischio di essere infettati da questo tipo di botnet e proteggere i propri dispositivi e dati.
