Feds vahvistaa Volt Typhoonin SOHO-bottiverkon etätappamisen

Yhdysvaltain lainvalvontaviranomaiset ovat häirinneet pahamaineisen Kiinan tukeman kyberhyökkäysryhmän, joka tunnetaan nimellä Volt Typhoon, infrastruktuuria.

Kehittynyt jatkuva uhka (APT), jonka FBI:n johtaja Christopher Wray sanoi tällä viikolla on "tämän aikakauden määrittelevä kyberuhka", joka tunnetaan hallinnastaan ​​leviävän botnet-verkon hallinnasta, joka on luotu kompromisseista. huonosti suojatut pientoimisto/kotitoimisto (SOHO) -reitittimet. Valtion tukema ryhmä käyttää sitä aloitusalustana muille hyökkäyksille, erityisesti Yhdysvaltain kriittiseen infrastruktuuriin, koska bottiverkon hajautettu luonne tekee toiminnan jäljittämisen vaikeaksi.

Jälkeen Volt Typhoon -poisto ilmoitettiin Reuters aiemmin tällä viikolla, Yhdysvaltain viranomaiset vahvisti täytäntöönpanotoimen myöhään eilen. FBI matki hyökkääjän komento- ja ohjausverkkoa (C2) lähettääkseen etätappamiskytkimen reitittimille, jotka ovat saaneet ryhmän käyttämän "KV Botnet" -haittaohjelman, se ilmoitti.

"Oikeuden valtuuttama toimenpide poisti KV Botnet -haittaohjelman reitittimistä ja ryhtyi lisätoimenpiteisiin katkaisemaan niiden yhteys botnet-verkkoon, kuten estäen viestinnän muiden robottiverkkoa ohjaavien laitteiden kanssa", FBI:n lausunnon mukaan.

Se lisäsi, että "valtaosa KV Botnetiin kuuluvista reitittimistä oli Ciscon ja Netgearin reitittimiä, jotka olivat haavoittuvia, koska ne olivat saavuttaneet "käyttöikänsä lopun" -tilan; toisin sanoen niitä ei enää tuettu valmistajan tietoturvakorjausten tai muiden ohjelmistopäivitysten kautta."

Vaikka hiljainen kurkottaminen satojen pienyritysten omistamiin reunavaihteisiin saattaa tuntua hälyttävältä, Feds korosti, että se ei päässyt tietoihin eikä vaikuttanut reitittimien laillisiin toimintoihin. Ja reitittimen omistajat voivat poistaa lievennyksiä käynnistämällä laitteet uudelleen – vaikka tämä tekisi niistä alttiita uudelleentartunnalle.

Volt Typhoonin teollinen riehuminen jatkuu

Volt Typhoon (alias Bronze Silhouette ja Vanguard Panda) on osa laajempaa Kiinan pyrkimystä soluttautua yleishyödyllisiin yrityksiin, energia-alan yrityksiin, sotilastukikohdat, teleyritykset, ja teollisuusalueita haittaohjelmien jalansijaa varten valmistautuakseen häiritseviin ja tuhoaviin hyökkäyksiin. Tavoitteena on pystyä vahingoittamaan Yhdysvaltojen kykyä reagoida, jos kineettinen sota puhkeaa Taiwanista tai kauppaan liittyviä ongelmia Etelä-Kiinan merellä, Wray ja muut viranomaiset varoittivat tällä viikolla.

Se on kasvua Kiinan tavanomaisista hakkerointi- ja vakoiluoperaatioista poikkeaminen. "Kybersodankäynti, joka keskittyy kriittisiin palveluihin, kuten apuohjelmiin ja veteen, osoittaa erilaisen lopputuloksen [kuin kybervakoilu]", sanoo Austin Berglas, BlueVoyantin maailmanlaajuinen asiantuntijapalveluiden johtaja ja entinen FBI:n kyberosaston erikoisagentti. "Enää ei keskitytä etuihin, vaan vahinkoihin ja vahvuuksiin."

Ottaen huomioon, että reititin käynnistää uudelleen ja avaa laitteet uudelleen tartunnalle, ja se tosiasia, että Volt Typhoonilla on varmasti muitakin tapoja käynnistää salaperäisiä hyökkäyksiä kriittisen infrastruktuurin louhostaan ​​vastaan, oikeustoimi on taatusti ainoa väliaikainen häiriö APT:lle – tosiasia, että jopa FBI myönsi lausunnossaan.

"Yhdysvaltain hallituksen toimet ovat todennäköisesti häirinneet Volt Typhoonin infrastruktuuria merkittävästi, mutta itse hyökkääjät ovat edelleen vapaina", Toby Lewis, Darktracen globaali uhka-analyysin johtaja, sanoi sähköpostitse. "Infrastruktuurin kohdistaminen ja hyökkääjien ominaisuuksien purkaminen johtaa yleensä hiljaiseen ajanjaksoon toimijoiden välillä, jolloin he rakentavat ja työstävät uudelleen, minkä luultavasti tulemme näkemään nyt."

Siitä huolimatta hyvä uutinen on, että Yhdysvallat on "kiinni" Kiinan strategiaan ja taktiikoihin nyt, sanoo Sandra Joyce, Mandiant Intelligence - Google Cloudin varapuheenjohtaja, joka työskenteli keskuspankin kanssa häiriön parissa. Hän sanoo, että sen lisäksi, että Volt Typhoon käyttää hajautettua botnet-verkkoa jatkuvasti toimintansa lähteen siirtämiseen pysyäkseen tutkan alla, Volt Typhoon vähentää myös allekirjoituksia, joita puolustajat käyttävät metsästäessään heitä eri verkkojen välillä, ja välttelevät mahdollisten binäärien käyttöä. kompromissin indikaattoreita (IoC).  

Silti "tällaista toimintaa on erittäin haastavaa seurata, mutta ei mahdotonta", Joyce sanoo. "Volt Typhoonin tarkoitus oli kaivaa sisään hiljaa sattumanvaraiseksi kiinnittämättä huomiota itseensä. Onneksi Volt Typhoon ei ole jäänyt huomaamatta, ja vaikka metsästys on haastava, sopeudumme jo parantamaan tiedustelutietojen keräämistä ja estämään tämän näyttelijän. Näemme heidän tulevan, tiedämme kuinka tunnistaa heidät, ja mikä tärkeintä, tiedämme, kuinka tiivistää verkostoja, joihin he kohdistavat."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet