Föderatsioonid kinnitavad Volt Typhooni SOHO-botneti kaugtapmise

USA õiguskaitseorganid on häirinud kurikuulsa Hiina rahastatud küberrünnakurühma Volt Typhoon infrastruktuuri.

Täiustatud püsiv oht (APT), mille FBI direktor Christopher Wray ütles sel nädalal on "selle ajastu määrav küberoht", on tuntud kompromiteerimisel loodud laialivalguva botneti haldamise poolest. halvasti kaitstud väikese kontori/kodukontori (SOHO) ruuterid. Riigi toetatud rühmitus kasutab seda teiste rünnakute käivitajana, eriti USA kriitilise infrastruktuuri vastu, kuna botneti hajutatud olemus muudab selle tegevuse raskesti jälgitavaks.

Pärast Teatati Volt Typhooni mahavõtmisest Reutersi poolt selle nädala alguses, USA ametnikud kinnitas täitetoimingut eile hilja. FBI jäljendas ründaja käsu- ja juhtimisvõrku (C2), et saata kaugtapmislüliti ruuteritele, mis olid nakatunud grupi kasutatud pahavaraga KV Botnet, teatas ta.

"Kohtu volitatud toiming kustutas ruuteritest KV Botneti pahavara ja astus täiendavaid samme nende ühenduse katkestamiseks botnetiga, näiteks blokeeris side teiste botneti juhtimiseks kasutatavate seadmetega," seisab FBI avalduses.

Selles lisati, et „enamik KV Botneti hõlmanud ruuteritest olid Cisco ja Netgeari ruuterid, mis olid haavatavad, kuna olid jõudnud kasutusea lõppu; see tähendab, et neid ei toetatud enam nende tootja turvapaikade ega muude tarkvaravärskenduste kaudu.

Kuigi vaikne sirutamine sadade väikeettevõtete omanduses olevatesse servadesse võib tunduda murettekitav, rõhutasid Feds, et sellel puudub juurdepääs teabele ega mõjutanud ruuterite seaduslikke funktsioone. Ja ruuteri omanikud saavad leevendada seadmed taaskäivitades – kuigi see muudaks need uuesti nakatumise suhtes vastuvõtlikuks.

Volt Typhooni tööstuslik märatsemine jätkub

Volt Typhoon (teise nimega Bronze Silhouette ja Vanguard Panda) on osa laiemast Hiina püüdest tungida kommunaalettevõtetesse, energiasektori ettevõtetesse, sõjaväebaasid, telekommunikatsiooniettevõtted, ja tööstusobjekte, et juurutada pahavara, et valmistuda häirivateks ja hävitavateks rünnakuteks. Wray ja teised ametnikud hoiatasid sel nädalal, et eesmärk on kahjustada USA reageerimisvõimet, kui Taiwani pärast algab kineetiline sõda või kaubandusprobleemid Lõuna-Hiina meres.

See on kasvamine lahkumine Hiina tavalistest häkkimis- ja luuramisoperatsioonidest. "Kübersõda, mis keskendub kriitilistele teenustele, nagu kommunaalteenused ja vesi, viitab teistsugusele lõpptulemusele [kui küberspionaaž]," ütleb BlueVoyanti ülemaailmne professionaalsete teenuste juht ja endine FBI küberosakonna eriagent Austin Berglas. "Enam ei keskenduta eelistele, vaid kahjudele ja tugipunktidele."

Arvestades, et ruuter taaskäivitab, avab seadmed uuesti nakatumiseks ja asjaolu, et Volt Typhoonil on kindlasti ka muid viise, kuidas oma kriitilise infrastruktuuri karjääri vastu vargsi rünnata, on kohtumenetlus APT jaoks kindlasti ainuke ajutine häire – tõsiasi, et isegi FBI tunnistas oma avalduses.

"USA valitsuse tegevus on tõenäoliselt oluliselt häirinud Volt Typhooni infrastruktuuri, kuid ründajad ise jäävad vabaks," ütles Darktrace'i ohuanalüüsi juht Toby Lewis meili teel. "Taristu sihtimine ja ründajate võimete lammutamine toob tavaliselt kaasa vaikse perioodi, mille jooksul nad uuesti üles ehitavad ja ümber töötavad, mida me ilmselt nüüd näeme."

Sellegipoolest on hea uudis see, et USA on nüüd Hiina strateegia ja taktika küljes, ütleb Sandra Joyce, Mandiant Intelligence'i – Google Cloudi asepresident, kes tegi Föderatsiooniga häireid. Ta ütleb, et lisaks hajutatud botneti kasutamisele oma tegevuse allika pidevaks nihutamiseks, et jääda radari alla, vähendab Volt Typhoon ka signatuure, mida kaitsjad kasutavad nende võrkudes jahtimiseks, ja väldivad binaarfailide kasutamist, mis võivad püsida. kompromissi indikaatoritena (IoC).  

Siiski on "sellist tegevust väga keeruline jälgida, kuid mitte võimatu," ütleb Joyce. “Volt Typhooni eesmärk oli vaikselt sisse kaevata ettenägematuks juhuks ilma endale tähelepanu juhtimata. Õnneks pole Volt Typhoon jäänud märkamatuks ja kuigi jaht on väljakutseid pakkuv, oleme juba kohanemas luureandmete kogumise parandamiseks ja selle näitleja nurjamiseks. Me näeme neid tulemas, teame, kuidas neid tuvastada, ja mis kõige tähtsam, me teame, kuidas tugevdada võrgustikke, mida nad sihivad.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet