26万台のSOHOルーターやIPカメラに感染した中国のボットネットをFBIらが制御
BleepingComputer – September 18, 2024
26万台以上のネットワーキングデバイスに感染し、米国やその他の国々の重要インフラ組織を標的にしていた中国の巨大ボットネット「Raptor Train」を、FBIとサイバーセキュリティ研究者らが停止。FBIレイ長官が水曜、この作戦について明かしたほか、昨年このボットネットを発見し、活動を追跡してきた研究チームBlack Lotus Labsは詳細な報告記事を公開している。
Raptor Trainは、ルーターやモデム、NVR、DVR、IPカメラ、NASなどのSOHOデバイスや消費者向けデバイスから成るボットネット。2020年5月に始動したと思われるが、昨年になるまでその存在は知られていなかった。第一のペイロードはDDoS向けマルウェアMiraiの亜種である「Nosedive」だが、Raptor TrainがDDoS攻撃を展開する様子は観測されていないという。
リアルタイムでRaptor Trainに感染しているデバイスの数には変動があるものの、ピーク時の2023年6月には6万台もの感染端末が存在していたとされる。またFBIが他国の当局などと合同で公開したアドバイザリによれば、2024年6月時点でこのボットネットを構成するデバイスの数は26万台を超えていたという。FBIもBlack Lotus Labsも、このボットネットのオペレーターは中国政府の支援を受けるハッカー、具体的には「Flax Typhoon」であろうと評価している。
Raptor Trainへ対抗するため、FBIは感染したデバイスを特定し、裁判所の許可を得てマルウェアを排除するためのコマンドを使ってこれらのデバイスを制御したとされる。またFBIは、ボットネットの操作が中国企業「Integrity Technology Group/Integrity Tech」を通じて、チャイナ・ユニコム(中国聯合通信)の北京のネットワークIPアドレスを使って行われていたことも明かした。
こうした脅威への対策として、消費者にはルーターの定期的なリブートや最新のアップデートのインストールなどの実施が推奨される。また、サポートが切れてアップデートを受け取ることのできないデバイスについては、新しいものに交換するべきとされている。