L’FBI smantella una botnet cinese rimasta nascosta per 4 anni. Dispositivi compromessi anche in Italia
Una vasta operazione congiunta dell’FBI e di ricercatori di sicurezza informatica ha portato allo smantellamento di una sofisticata botnet cinese denominata “Raptor Train” che ha infettato centinaia di migliaia di dispositivi connessi. Questa botnet era progettata per colpire infrastrutture critiche, principalmente nei settori militare, governativo, dell’istruzione superiore, delle telecomunicazioni, della difesa e IT negli Stati Uniti e in altri paesi.
La botnet è entrata in funzione a maggio 2020, ma le sue operazioni sono rimaste sotto traccia fino all’anno scorso. I ricercatori di Black Lotus Labs, la divisione di Lumen Technologies dedicata alla ricerca sulle minacce informatiche, l’hanno scoperta durante le indagini su router compromessi. In questo periodo, Raptor Train si è evoluta in una rete complessa e multi-livello, dotata di un sofisticato sistema di controllo simile a quello di una vera azienda, per gestire dozzine di server e un numero elevato di dispositivi infetti. Tra questi dispositivi si annoverano quelli connessi domestici o per piccoli uffici, come router, modem e sistemi di videosorveglianza.
![TCL - Moveaudio S600 Cuffie wireless (cancellazione attiva del rumore, tecnologia ANC, Bluetooth 5.0, ricarica rapida, custodia con ricarica wireless, IP54, controllo touch) Pearl White [Italia]](https://m.media-amazon.com/images/I/21xRrg1Nk6L._SS520_.jpg)
La dimensione della botnet ha visto variazioni significative nel corso del tempo: i ricercatori stimano che oltre 200.000 sistemi siano stati infettati dall’inizio delle operazioni, con un picco di oltre 60.000 dispositivi controllati simultaneamente nel giugno dello scorso anno. I dispositivi venivano compromessi tramite il payload “Nosedive”, una variante del malware Mirai, dotato della possibilità di lanciare attacchi DDoS, sebbene questa funzione non sia stata utilizzata “in natura”.
Durante le indagini, le autorità federali hanno attribuito l’operatività e la gestione di Raptor Train al gruppo hacker Flax Typhoon, affiliato al governo cinese. Analizzando un database MySQL presente in uno dei sistemi della botnet, le forze dell’ordine hanno ottenuto informazioni cruciali sulla distribuzione geografica dei dispositivi compromessi, scoprendo che circa 4000 di essi si trovano in Italia.
Raptor Train: la botnet cinese smantellata
La botnet Raptor Train ha rappresentato una delle minacce informatiche più sofisticate e insidiose degli ultimi anni, operando in silenzio per oltre quattro anni. I suoi operatori hanno saputo sfruttare le vulnerabilità di centinaia di migliaia di dispositivi connessi, alimentando una rete che ha minacciato non solo gli Stati Uniti, ma anche altre nazioni, inclusa l’Italia.
Cominciando le sue operazioni nel maggio 2020, Raptor Train si è inizialmente concentrata su una serie di attacchi alle infrastrutture critiche, approfittando di un’impostazione aziendale per la gestione dei suoi elementi. La scoperta effettuata da Black Lotus Labs ha rivelato la complessità della botnet, caratterizzata da un’architettura multi-livello. Questa struttura sofisticata le ha permesso di mantenere un controllo costante sui dispositivi, mano a mano che nuovi sistemi venivano compromessi.
Durante il periodo attivo, Raptor Train ha infettato almeno 200.000 dispositivi, di cui oltre 60.000 erano sotto il suo controllo contemporaneamente nel giugno 2023. I ricercatori hanno stimato che la botnet operasse su una base di server di comando e controllo (C2) in continua espansione, aumentando il numero di server utilizzati per gestire e distribuire payload e controllare i bot. La botnet ha dimostrato di essere in grado di adattarsi e ampliare la propria rete, aggiungendo nuovi dispositivi attraverso vulnerabilità note e falle zero-day.
La rimozione di Raptor Train è stata un’operazione complessa, che ha coinvolto le autorità di sicurezza informatica statunitensi e i ricercatori di Black Lotus Labs. Quest’ultimi hanno fornito informazioni vitali per il monitoraggio delle attività della botnet e per il suo smantellamento definitivo. Il fatto che oltre 4000 dispositivi compromessi si trovassero in Italia evidenzia la rilevanza della minaccia su scala globale e l’urgenza di misure di sicurezza adeguate nei sistemi informatici europei.
Operazione congiunta dell’FBI e ricercatori di sicurezza
L’operazione di smantellamento della botnet Raptor Train ha visto una sinergia strategica tra l’FBI, @US_CYBERCOM, @NSAgov e un gruppo scelto di esperti di cybersicurezza. Questa collaborazione ha avuto come obiettivo primario quello di neutralizzare una minaccia che si estendeva ben oltre i confini statunitensi, colpendo infrastrutture critiche e privati in tutto il mondo.
Le indagini condotte dai ricercatori di Black Lotus Labs hanno rivelato il livello di sofisticazione raggiunto dalla botnet, rendendo necessario un approccio congiunto e multifocale. La rivelazione della botnet è avvenuta attraverso un’analisi approfondita di router compromessi, che ha portato alla luce la genesi di un’infezione di vasta portata.
Un aspetto cruciale di questa operazione è stato il monitoraggio costante delle attività della botnet, che ha permesso di mappare in tempo reale la sua espansione e le modalità operative. Questa strategia di intelligence ha consentito alle forze dell’ordine di effettuare interventi tempestivi, nonché di identificare i server di comando e controllo utilizzati dal gruppo hacker Flax Typhoon.
Il lavoro di squadra si è esteso anche nella raccolta di evidenze forensi, come l’analisi di un database MySQL, che ha offerto una visione dettagliata sull’architettura della botnet e la distribuzione geografica dei dispositivi infetti. La cooperazione ha portato a risultati tangibili, incluso il monitoraggio delle attività e l’impostazione di misure di sicurezza da attuare a livello nazionale e internazionale.
La capacità di integrare le risorse delle varie agenzie di sicurezza ha quindi rappresentato un elemento fondamentale per il successo dell’operazione, evidenziando l’importanza della cooperazione tra enti governativi e ricercatori del settore privato nel fronteggiare minacce informatiche sempre più sofisticate e pervasive.
Funzionamento e architettura della botnet
L’architettura della botnet Raptor Train è un esempio emblematico di complessità e sofisticazione nelle reti di attacco informatico moderne. La sua struttura è stata progettata per gestire oltre 60 server di comando e controllo (C2) e i bot ad essi collegati. Gli studi condotti da Black Lotus Labs hanno rivelato che la botnet operava su tre livelli distinti: il primo comprendeva i dispositivi compromessi, il secondo era dedicato ai server per lo sfruttamento delle vulnerabilità e distribuzione dei payload, e il terzo livello gestiva l’intera operazione attraverso sofisticati sistemi di controllo.
Il primo livello, quello dei dispositivi compromessi, includeva router, modem e sistemi di videosorveglianza. La botnet ha utilizzato il payload “Nosedive”, una variabile del noto malware Mirai, per infettare questi dispositivi. Nonostante alcune funzionalità di attacco DDoS fossero integrate, non sono state utilizzate operativamente. I dispositivi, mediamente, rimanevano compromessi per circa 17 giorni, dopo di che gli operatori avviavano il reclutamento di nuovi sistemi, sfruttando vulnerabilità sia note che zero-day.
Il secondo livello era costituito da server di comando e controllo, responsabili della gestione dei dispositivi di primo livello e della distribuzione del malware. I server di questo livello si differenziavano in server di payload di prima e seconda fase, i quali gestivano attacchi più generici o più specifici a seconda della tipologia di dispositivo targetizzato. Questa strategia ha permesso agli aggressori di nascondere le vulnerabilità zero-day ed evitare di essere individuati.
Il terzo livello, noto come “nodi Sparrow”, gestiva l’infrastruttura della botnet attraverso connessioni SSH o TLS. Questi nodi offrivano un’interfaccia web con funzionalità avanzate per generare payload ed exploit. Questo sistema ha permesso a Raptor Train di mantenere un controllo continuativo e di adattarsi rapidamente alle contromisure di sicurezza, garantendo la sua operatività e resilienza nel tempo. L’evoluzione della botnet in un’infrastruttura così complessa ha reso necessario un intervento coordinato e incisivo da parte delle autorità per il suo smantellamento.
Rilevanza degli obiettivi e impatto globale
La botnet Raptor Train ha dimostrato di possedere una tipologia di obiettivi di ampia portata, che includevano non solo le infrastrutture critiche statunitensi, ma anche interessi globali. Le attività malevole di questa rete si sono estese a settori vulnerabili in tutto il mondo, contribuendo a compromettere sistemi vitali in numerosi paesi, tra cui anche l’Italia. La sua struttura avanzata ha consentito di effettuare operazioni simultanee su vasta scala, sfruttando oltre 60.000 dispositivi infetti in un dato momento, il che indica un’intensità operativa e una capacità di gestione significativamente elevata.
La natura sofisticata della botnet ha permesso ai suoi operatori di concentrarsi su obiettivi di alto profilo, in particolare nelle infrastrutture governative e militari, oltre a vari settori commerciali e tecnologici. Tra i bersagli preferiti si segnalano le agenzie di sicurezza, fornitori di servizi IT e enti governativi, il che evidenzia l’intento strategico di colpire settori che garantiscono la sicurezza nazionale. Parimenti, i dati raccolti dalle autorità indicano che gli attacchi non si limitavano agli Stati Uniti, ma si estendevano anche a nazioni come il Kazakistan, ulteriormente dimostrando il carattere globale della minaccia.
Un aspetto cruciale del funzionamento di Raptor Train era la sua capacità di adattamento e resilienza. Durante le sue operazioni, i membri del gruppo Flax Typhoon hanno tentato costantemente di eludere le autorità, migrando gli strumenti di controllo verso nuovi server e lanciando controffensive, come attacchi DDoS contro le reti dell’FBI. Tale comportamento non solo sottolinea la determinazione degli attaccanti, ma anche la necessità di mantenere alti livelli di vigilanza e risposta nella lotta contro le minacce informatiche emergenti.
Inoltre, la scoperta di oltre 4.000 dispositivi compromessi in Italia rappresenta un campanello d’allarme per le autorità locali e gli esperti di cybersicurezza, che devono affrontare la crescita esponenziale delle botnet e l’evoluzione costante delle tecniche di attacco. Questa situazione richiede una rinnovata attenzione e un impegno coordinato per salvaguardare le infrastrutture critiche e proteggere i cittadini dalle crescenti minacce derivate da reti di attacco così ampie e articolate.
Situazione in Italia e dispositivi compromessi
La scoperta che oltre 4.000 dispositivi compromessi si trovano in Italia rappresenta un allerta significativo per la sicurezza informatica nazionale. I ricercatori di Black Lotus Labs hanno monitorato attentamente la distribuzione geografica dei dispositivi infetti, evidenziando così la vulnerabilità della nostra infrastruttura digitale. Tra i dispositivi coinvolti si annoverano router, modem e sistemi di videosorveglianza, tutti strumenti di uso quotidiano che, se compromessi, possono diventare porte di accesso per ulteriori attacchi mirati.
Purtroppo, l’infiltrazione di Raptor Train in Italia non si limita a una semplice questione tecnica: essa solleva preoccupazioni relative alla sicurezza dei dati e alla protezione delle informazioni sensibili. Con gli attacchi mirati che hanno colpito anche infrastrutture critiche in altri paesi, è essenziale che le autorità locali e le aziende private collaborino attivamente per implementare strategie di difesa adeguate.
Le autorità italiane si trovano ora a dover rafforzare le misure di cybersicurezza per prevenire ulteriori compromissioni. I primi passi includono l’adozione di aggiornamenti di sicurezza per dispositivi vulnerabili e l’educazione dei cittadini sui rischi di una connessione Internet non protetta. È cruciale che le aziende comprendano l’importanza della sicurezza informatica e implementino pratiche di gestione del rischio efficaci.
In questo contesto, la collaborazione con agenzie di sicurezza informatica internazionali diventa fondamentale per monitorare attivamente minacce future e agire tempestivamente. La rete Raptor Train ha dimostrato una capacità di adattamento notevole, pertanto è imperativo che le contromisure siano non solo reattive, ma anche proattive nella scoperta e mitigazione di potenziali vulnerabilità.
Ultimativamente, la situazione osservata in Italia sottolinea l’importanza di una strategia ben pianificata per affrontare la crescente minaccia che rappresentano le botnet come Raptor Train, nonché la necessità di un impegno collettivo per aumentare la resilienza del nostro sistema informatico. Le rafforzate misure di sicurezza non solo proteggeranno i dispositivi da prossime infezioni, ma contribuiranno anche a garantire una rete più sicura per tutti gli utenti, da cittadini privati a organizzazioni governative.
