Οι ομοσπονδιακοί επιβεβαιώνουν την απομακρυσμένη θανάτωση του SOHO Botnet του Volt Typhoon

Οι αμερικανικές αρχές επιβολής του νόμου διέκοψαν την υποδομή της διαβόητης ομάδας κυβερνοεπιθέσεων που υποστηρίζεται από την Κίνα, γνωστή ως Volt Typhoon.

Η προηγμένη επίμονη απειλή (APT), την οποία ο Διευθυντής του FBI είπε αυτή την εβδομάδα ο Christopher Wray είναι «η καθοριστική απειλή στον κυβερνοχώρο αυτής της εποχής», είναι γνωστή για τη διαχείριση ενός εκτεταμένου botnet που δημιουργήθηκε με συμβιβασμούς κακώς προστατευμένοι δρομολογητές μικρού γραφείου/οικιακού γραφείου (SOHO).. Η ομάδα που υποστηρίζεται από το κράτος το χρησιμοποιεί ως σημείο εκκίνησης για άλλες επιθέσεις, ιδιαίτερα σε κρίσιμες υποδομές των ΗΠΑ, επειδή η κατανεμημένη φύση του botnet καθιστά τη δραστηριότητα δύσκολο να εντοπιστεί.

Μετά το Αναφέρθηκε η κατάρριψη του Volt Typhoon από το Reuters νωρίτερα αυτή την εβδομάδα, Αμερικανοί αξιωματούχοι επιβεβαίωσε την πράξη επιβολής αργά χθες. Το FBI μιμήθηκε το δίκτυο εντολών και ελέγχου (C2) του εισβολέα για να στείλει έναν διακόπτη απομακρυσμένου kill σε δρομολογητές που έχουν μολυνθεί από το κακόβουλο λογισμικό «KV Botnet» που χρησιμοποιείται από την ομάδα, ανακοίνωσε.

«Η επιχείρηση που εξουσιοδοτήθηκε από το δικαστήριο διέγραψε το κακόβουλο λογισμικό KV Botnet από τους δρομολογητές και έλαβε πρόσθετα μέτρα για να διακόψει τη σύνδεσή τους με το botnet, όπως μπλοκάρισμα των επικοινωνιών με άλλες συσκευές που χρησιμοποιούνται για τον έλεγχο του botnet», σύμφωνα με τη δήλωση του FBI.

Πρόσθεσε ότι «η συντριπτική πλειονότητα των δρομολογητών που περιλάμβαναν το KV Botnet ήταν δρομολογητές Cisco και Netgear που ήταν ευάλωτοι επειδή είχαν φτάσει στην κατάσταση «τέλους ζωής». Δηλαδή, δεν υποστηρίζονταν πλέον μέσω των ενημερώσεων κώδικα ασφαλείας του κατασκευαστή τους ή άλλων ενημερώσεων λογισμικού."

Ενώ η σιωπηλή προσέγγιση του εξοπλισμού αιχμής που ανήκουν σε εκατοντάδες μικρές επιχειρήσεις μπορεί να φαίνεται ανησυχητική, οι ομοσπονδιακοί τόνισαν ότι δεν είχαν πρόσβαση σε πληροφορίες και δεν επηρέασαν καμία νόμιμη λειτουργία των δρομολογητών. Και, οι ιδιοκτήτες δρομολογητών μπορούν να καθαρίσουν τους μετριασμούς επανεκκινώντας τις συσκευές — αν και αυτό θα τις καθιστούσε επιρρεπείς σε επαναμόλυνση.

Η βιομηχανική έξαψη του Volt Typhoon θα συνεχιστεί

Το Volt Typhoon (γνωστός και ως Bronze Silhouette και Vanguard Panda) αποτελεί μέρος μιας ευρύτερης κινεζικής προσπάθειας για διείσδυση σε επιχειρήσεις κοινής ωφέλειας, εταιρείες του ενεργειακού τομέα, στρατιωτικές βάσεις, εταιρείες τηλεπικοινωνιών, και βιομηχανικές τοποθεσίες προκειμένου να εγκατασταθεί κακόβουλο λογισμικό, στο πλαίσιο προετοιμασίας για ανατρεπτικές και καταστροφικές επιθέσεις στη συνέχεια. Ο στόχος είναι να είμαστε σε θέση να βλάψουμε την ικανότητα των ΗΠΑ να ανταποκριθούν σε περίπτωση που ξεκινήσει ένας κινητικός πόλεμος για την Ταϊβάν ή εμπορικά ζητήματα στη Θάλασσα της Νότιας Κίνας, προειδοποίησαν ο Wray και άλλοι αξιωματούχοι αυτή την εβδομάδα.

Είναι μια αύξηση αναχώρηση από τις συνήθεις επιχειρήσεις hack-and-spy της Κίνας. «Ο κυβερνοπόλεμος που επικεντρώνεται σε κρίσιμες υπηρεσίες όπως οι επιχειρήσεις κοινής ωφέλειας και το νερό δείχνει ένα διαφορετικό τελικό παιχνίδι [από την κυβερνοκατασκοπεία]», λέει ο Austin Berglas, παγκόσμιος επικεφαλής επαγγελματικών υπηρεσιών στο BlueVoyant και πρώην ειδικός πράκτορας του τμήματος κυβερνοεπιχείρησης του FBI. «Δεν είναι πλέον η εστίαση στο πλεονέκτημα, αλλά στη ζημιά και τα οχυρά».

Δεδομένου ότι ο δρομολογητής επανεκκινεί ανοίγει τις συσκευές σε επαναμόλυνση και το γεγονός ότι το Volt Typhoon έχει σίγουρα άλλους τρόπους για να εξαπολύσει κρυφές επιθέσεις εναντίον του λατομείου υποδομής ζωτικής σημασίας, η νομική ενέργεια είναι βέβαιο ότι θα είναι μια μόνη προσωρινή διακοπή για το APT — γεγονός που Το FBI αναγνώρισε στη δήλωσή του.

«Οι ενέργειες της αμερικανικής κυβέρνησης πιθανότατα έχουν διαταράξει σημαντικά την υποδομή του Volt Typhoon, αλλά οι ίδιοι οι επιτιθέμενοι παραμένουν ελεύθεροι», δήλωσε μέσω email ο Toby Lewis, παγκόσμιος επικεφαλής ανάλυσης απειλών στο Darktrace. «Η στόχευση της υποδομής και η εξάρθρωση των δυνατοτήτων των επιτιθέμενων συνήθως οδηγεί σε μια περίοδο ησυχίας από τους ηθοποιούς όπου ανακατασκευάζουν και ανακατασκευάζουν, την οποία μάλλον θα δούμε τώρα».

Ακόμα κι έτσι, τα καλά νέα είναι ότι οι ΗΠΑ «εντάσσονται» στη στρατηγική και τις τακτικές της Κίνας τώρα, λέει η Sandra Joyce, αντιπρόεδρος της Mandiant Intelligence — Google Cloud, η οποία συνεργάστηκε με τις ομοσπονδιακές αρχές για τη διαταραχή. Λέει ότι εκτός από τη χρήση ενός κατανεμημένου botnet για να μετατοπίζουν συνεχώς την πηγή της δραστηριότητάς τους για να παραμένουν κάτω από το ραντάρ, το Volt Typhoon μειώνει επίσης τις υπογραφές που χρησιμοποιούν οι υπερασπιστές για να τους κυνηγήσουν σε όλα τα δίκτυα και αποφεύγουν τη χρήση δυαδικών αρχείων που μπορεί να σταθούν ως δείκτες συμβιβασμού (IoCs).  

Ωστόσο, "δραστηριότητα όπως αυτή είναι εξαιρετικά δύσκολο να παρακολουθηθεί, αλλά όχι αδύνατη", λέει ο Joyce. "Ο σκοπός του Volt Typhoon ήταν να σκάβει αθόρυβα για ένα ενδεχόμενο χωρίς να τραβάει την προσοχή στον εαυτό του. Ευτυχώς, το Volt Typhoon δεν πέρασε απαρατήρητο και, παρόλο που το κυνήγι είναι δύσκολο, ήδη προσαρμόζομαι για να βελτιώσουμε τη συλλογή πληροφοριών και να αποτρέψουμε αυτόν τον ηθοποιό. Τους βλέπουμε να έρχονται, ξέρουμε πώς να τους αναγνωρίσουμε και το πιο σημαντικό ξέρουμε πώς να σκληρύνουμε τα δίκτυα που στοχεύουν».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet