Feds bestätigen Ferntötung des SOHO-Botnets von Volt Typhoon

Die US-Strafverfolgungsbehörden haben die Infrastruktur der berüchtigten, von China gesponserten Cyberangriffsgruppe namens Volt Typhoon lahmgelegt.

Die Advanced Persistent Threat (APT), die FBI-Direktor sagte Christopher Wray diese Woche ist „die bestimmende Cyber-Bedrohung dieser Ära“ und ist dafür bekannt, ein weitläufiges Botnetz zu verwalten, das durch Kompromittierung entstanden ist schlecht geschützte Router für kleine Büros/Heimbüros (SOHO).. Die staatlich unterstützte Gruppe nutzt es als Ausgangspunkt für andere Angriffe, insbesondere auf kritische Infrastrukturen in den USA, da die Aktivität aufgrund der verteilten Natur des Botnetzes schwer zu verfolgen ist.

Nach dem Der Abschuss des Volt Typhoon wurde gemeldet von Reuters Anfang dieser Woche, US-Beamte bestätigte die Vollstreckungsmaßnahme Spät gestern. Das FBI ahmte das Command-and-Control-Netzwerk (C2) des Angreifers nach, um einen Remote-Kill-Switch an Router zu senden, die mit der von der Gruppe verwendeten Malware „KV Botnet“ infiziert waren, gab es bekannt.

„Die vom Gericht genehmigte Operation löschte die KV-Botnet-Malware von den Routern und ergriff zusätzliche Schritte, um ihre Verbindung zum Botnet zu trennen, wie zum Beispiel die Blockierung der Kommunikation mit anderen Geräten, die zur Kontrolle des Botnets verwendet wurden“, heißt es in der Erklärung des FBI.

Es fügte hinzu, dass „die überwiegende Mehrheit der Router, aus denen das KV-Botnetz bestand, Cisco- und Netgear-Router waren, die anfällig waren, weil sie den Status „Ende ihrer Lebensdauer“ erreicht hatten; das heißt, sie wurden nicht mehr durch die Sicherheitspatches oder andere Software-Updates ihres Herstellers unterstützt.“

Auch wenn es besorgniserregend erscheinen mag, stillschweigend in die Edge-Geräte von Hunderten kleiner Unternehmen einzugreifen, betonten die Feds, dass dadurch keine Informationen abgerufen und keine legitimen Funktionen der Router beeinträchtigt würden. Und Routerbesitzer können die Abhilfemaßnahmen durch einen Neustart der Geräte aufheben – obwohl dies sie anfällig für eine erneute Infektion machen würde.

Der industrielle Amoklauf des Volt-Taifuns wird weitergehen

Volt Typhoon (auch bekannt als Bronze Silhouette und Vanguard Panda) ist Teil einer umfassenderen chinesischen Anstrengung, Versorgungsunternehmen, Unternehmen des Energiesektors zu infiltrieren. Militärstützpunkte, Telekommunikationsunternehmen, und Industriestandorte, um Schadsoftware einzuschleusen und so auf spätere zerstörerische und zerstörerische Angriffe vorbereitet zu sein. Das Ziel besteht darin, in der Lage zu sein, die Reaktionsfähigkeit der USA zu beeinträchtigen, falls ein kinetischer Krieg um Taiwan oder Handelsprobleme im Südchinesischen Meer ausbricht, warnten Wray und andere Beamte diese Woche.

Es wächst Abkehr von Chinas üblichen Hack-and-Spionage-Operationen. „Cyberkriegsführung, die sich auf kritische Dienste wie Versorgungs- und Wasserversorgung konzentriert, weist auf ein anderes Endergebnis [als Cyberspionage] hin“, sagt Austin Berglas, globaler Leiter für professionelle Dienste bei BlueVoyant und ehemaliger Spezialagent der FBI-Cyberabteilung. „Der Fokus liegt nicht mehr auf Vorteil, sondern auf Schaden und Festungen.“

Angesichts der Tatsache, dass Router-Neustarts die Geräte einer erneuten Infektion aussetzen, und der Tatsache, dass Volt Typhoon sicherlich andere Möglichkeiten hat, heimliche Angriffe auf seine kritische Infrastruktur zu starten, wird die Klage nur eine vorübergehende Störung für die APT darstellen – eine Tatsache, die sogar die Das bestätigte das FBI in seiner Stellungnahme.

„Die Maßnahmen der US-Regierung haben wahrscheinlich die Infrastruktur von Volt Typhoon erheblich gestört, aber die Angreifer selbst bleiben frei“, sagte Toby Lewis, globaler Leiter der Bedrohungsanalyse bei Darktrace, per E-Mail. „Ins Visier genommene Infrastrukturen und die Demontage von Angreiferfähigkeiten führen normalerweise zu einer Ruhephase bei den Akteuren, in der sie umbauen und umrüsten, was wir wahrscheinlich jetzt erleben werden.“

Dennoch ist die gute Nachricht, dass die USA Chinas Strategie und Taktik jetzt „auf der Spur“ sind, sagt Sandra Joyce, Vizepräsidentin von Mandiant Intelligence – Google Cloud, das bei der Störung mit den Feds zusammengearbeitet hat. Sie sagt, dass Volt Typhoon nicht nur ein verteiltes Botnetz verwendet, um die Quelle ihrer Aktivitäten ständig zu verschieben und so unter dem Radar zu bleiben, sondern auch die Signaturen reduziert, die Verteidiger verwenden, um sie über Netzwerke hinweg zu jagen, und dass sie die Verwendung eventuell vorhandener Binärdateien vermeiden als Indicators of Compromise (IoCs) herausgestellt.  

Dennoch „ist es äußerst schwierig, Aktivitäten wie diese zu verfolgen, aber nicht unmöglich“, sagt Joyce. „Der Zweck von Volt Typhoon bestand darin, sich ruhig einzumischen für einen Notfall, ohne Aufmerksamkeit zu erregen. Glücklicherweise ist Volt Typhoon nicht unbemerkt geblieben, und obwohl die Jagd eine Herausforderung ist, passen wir uns bereits an, um das Sammeln von Informationen zu verbessern und diesen Akteur zu vereiteln. Wir sehen sie kommen, wir wissen, wie wir sie identifizieren können, und vor allem wissen wir, wie wir die Netzwerke, auf die sie abzielen, absichern können.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet