Los federales confirman la eliminación remota de la botnet SOHO de Volt Typhoon

Las fuerzas del orden estadounidenses han perturbado la infraestructura del notorio grupo de ciberataques patrocinado por China conocido como Volt Typhoon.

La amenaza persistente avanzada (APT), que el director del FBI Christopher Wray dijo esta semana es "la ciberamenaza definitoria de esta era", es conocida por administrar una red de bots en expansión creada al comprometer Enrutadores para pequeñas oficinas/oficinas domésticas (SOHO) mal protegidos. El grupo respaldado por el Estado lo utiliza como plataforma de lanzamiento para otros ataques, particularmente contra infraestructura crítica de Estados Unidos, porque la naturaleza distribuida de la botnet hace que la actividad sea difícil de rastrear.

Una vez que el Se informó del derribo del Volt Typhoon por Reuters a principios de esta semana, funcionarios estadounidenses confirmó la acción de ejecución ayer tarde. El FBI imitó la red de comando y control (C2) del atacante para enviar un interruptor de apagado remoto a los enrutadores infectados por el malware "KV Botnet" utilizado por el grupo, anunció.

"La operación autorizada por el tribunal eliminó el malware KV Botnet de los enrutadores y tomó medidas adicionales para cortar su conexión a la botnet, como bloquear las comunicaciones con otros dispositivos utilizados para controlar la botnet", según la declaración del FBI.

Agregó que “la gran mayoría de los enrutadores que componían la KV Botnet eran enrutadores Cisco y Netgear que eran vulnerables porque habían alcanzado el estado de 'fin de vida'; es decir, ya no eran compatibles con los parches de seguridad del fabricante ni con otras actualizaciones de software”.

Si bien acceder silenciosamente al equipo de vanguardia propiedad de cientos de pequeñas empresas puede parecer alarmante, los federales enfatizaron que no accedió a ninguna información y no afectó funciones legítimas de los enrutadores. Y los propietarios de enrutadores pueden eliminar las mitigaciones reiniciando los dispositivos, aunque esto los haría susceptibles a la reinfección.

El alboroto industrial del tifón Volt continuará

Volt Typhoon (también conocido como Bronze Silhouette y Vanguard Panda) es parte de un esfuerzo chino más amplio para infiltrarse en empresas de servicios públicos, empresas del sector energético, bases militares, empresas de telecomunicacionesy sitios industriales para implantar malware, en preparación para ataques disruptivos y destructivos en el futuro. El objetivo es estar en posición de dañar la capacidad de Estados Unidos para responder en caso de que comience una guerra cinética sobre Taiwán o problemas comerciales en el Mar de China Meridional, advirtieron Wray y otros funcionarios esta semana.

es un crecimiento salida de las habituales operaciones de piratería y espionaje de China. “La guerra cibernética centrada en servicios críticos como los servicios públicos y el agua indica un final diferente [que el ciberespionaje]”, dice Austin Berglas, jefe global de servicios profesionales de BlueVoyant y ex agente especial de la división cibernética del FBI. “Ya no se centra la atención en las ventajas, sino en los daños y las fortalezas”.

Dado que los reinicios de los enrutadores abren los dispositivos a la reinfección, y el hecho de que Volt Typhoon ciertamente tiene otras formas de lanzar ataques sigilosos contra su infraestructura crítica, la acción legal seguramente será una interrupción temporal para la APT, un hecho que incluso los reconoció el FBI en su comunicado.

"Las acciones del gobierno de EE. UU. probablemente hayan perturbado significativamente la infraestructura de Volt Typhoon, pero los propios atacantes siguen libres", dijo por correo electrónico Toby Lewis, jefe global de análisis de amenazas de Darktrace. "Apuntar a la infraestructura y desmantelar las capacidades de los atacantes generalmente conduce a un período de tranquilidad por parte de los actores en el que reconstruyen y reequipan, lo que probablemente veremos ahora".

Aun así, la buena noticia es que Estados Unidos está "en" la estrategia y tácticas de China ahora, dice Sandra Joyce, vicepresidenta de Mandiant Intelligence - Google Cloud, que trabajó con los federales en la disrupción. Ella dice que además de usar una red de bots distribuida para cambiar constantemente la fuente de su actividad para permanecer fuera del radar, Volt Typhoon también reduce las firmas que los defensores usan para cazarlos a través de las redes y evitan el uso de cualquier binario que pueda resistir. como indicadores de compromiso (IoC).  

Aún así, "una actividad como esta es extremadamente difícil de rastrear, pero no imposible", dice Joyce. “El propósito de Volt Typhoon era excavar silenciosamente para una contingencia sin llamar la atención sobre sí mismo. Afortunadamente, Volt Typhoon no ha pasado desapercibido y, aunque la caza es desafiante, ya nos estamos adaptando para mejorar la recopilación de inteligencia y frustrar a este actor. Los vemos venir, sabemos cómo identificarlos y, lo más importante, sabemos cómo fortalecer las redes a las que apuntan”.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet