Le FBI vient de prendre le contrôle d’un botnet créé par un groupe de hackers liés au gouvernement chinois. Pendant quatre ans, ils auraient utilisé un malware pour infecter et contrôler plus de 260 000 appareils à travers le monde.
au sommaire
Il aura suffi de tomber sur quelques routeurs compromis pour découvrir et mettre fin à un botnet de grande ampleur. L'équipe Black lotus Labs de LumenLumen Technologies vient de publier un rapport détaillant une enquête qui a commencé vers le milieu de l'année 2023 sur un botnet qu'ils ont baptisé « Raptor Train ». Il avait, entre autres, été utilisé pour attaquer des cibles militaires, gouvernementaux, ainsi que les secteurs de l'éducation, les télécommunications, l'industrie de défense et l'informatique, principalement aux États-Unis et à Taïwan.
Un botnet est un ensemble d'appareils infectés par un malware et commandés comme un essaim, qui peut être utilisé pour mener des attaques contre des cibles, notamment en saturant leur connexion. Dans le cas présent, le botnet était composé de routeurs grand public, d'enregistreurs vidéo (NVR/DVR), de serveurs NAS (stockage réseau) et de caméras IPIP, tous compromis par un groupe lié à l'État chinois et connu sous le nom de « Flax Typhoon ». Il vendait ses services via l'entreprise Integrity Technology Group, située à Pékin.
Le botnet démantelé par le FBI
À son apogéeapogée, le botnet était composé de 60 000 appareils compromis et était géré par plus de 60 serveurs de commande et contrôle (C2). Selon un rapport du département de la Justice des États-Unis (DoJ), plus de 260 000 appareils auraient été affectés depuis le début du botnet en mai 2020, principalement situés aux États-Unis, mais comptant aussi 5 600 en France. Le FBI (Federal Bureau of Investigation), en partenariat avec des agences en Australie, au Canada, en Nouvelle-Zélande et au Royaume-Uni, est parvenu à prendre le contrôle des serveurs C2.
Leurs spécialistes ont pu désactiver le malware sur les appareils compromis grâce à des commandes spécifiques, mais ont essuyé une attaque de type déni de servicedéni de service (DDoS) pendant l'opération. Le FBI notifie les propriétaires d'appareils compromis via leur fournisseur d'accès à InternetInternet.
Les appareils ciblés fonctionnaient sous linuxlinux (noyau 2.6 à 5.4). Certains recevaient encore des mises à jour, alors que d'autres ont déjà atteint la fin du support, les plus anciens dès 2016. Le FBI a publié une série de recommandations, dont le remplacement des appareils qui ne sont plus pris en charge, le remplacement des mots de passemots de passe par défaut, la mise à jour des appareils, la désactivation des services non utilisés et le redémarrage régulier des appareils.