Le gouvernement fédéral confirme l'élimination à distance du botnet SOHO de Volt Typhoon

Les forces de l’ordre américaines ont perturbé l’infrastructure du célèbre groupe de cyberattaques parrainé par la Chine, connu sous le nom de Volt Typhoon.

La menace persistante avancée (APT), que le directeur du FBI Christopher Wray a dit cette semaine est « la cybermenace déterminante de cette époque », est connu pour gérer un botnet tentaculaire créé en compromettant routeurs pour petits bureaux/bureaux à domicile (SOHO) mal protégés. Le groupe soutenu par l'État l'utilise comme rampe de lancement pour d'autres attaques, en particulier contre les infrastructures critiques américaines, car la nature distribuée du botnet rend l'activité difficile à retracer.

Après les Le retrait du Volt Typhoon a été signalé par Reuters plus tôt cette semaine, des responsables américains a confirmé la mesure coercitive tard hier. Le FBI a imité le réseau de commande et de contrôle (C2) de l'attaquant pour envoyer un kill switch à distance aux routeurs infectés par le malware « KV Botnet » utilisé par le groupe, a-t-il annoncé.

"L'opération autorisée par le tribunal a supprimé le logiciel malveillant KV Botnet des routeurs et a pris des mesures supplémentaires pour rompre leur connexion au botnet, comme le blocage des communications avec d'autres appareils utilisés pour contrôler le botnet", selon le communiqué du FBI.

Il ajoute que « la grande majorité des routeurs qui composent le KV Botnet étaient des routeurs Cisco et Netgear qui étaient vulnérables parce qu'ils avaient atteint le statut de « fin de vie » ; c'est-à-dire qu'ils n'étaient plus pris en charge par les correctifs de sécurité de leur fabricant ou d'autres mises à jour logicielles.

Bien qu’il puisse sembler alarmant d’accéder silencieusement aux équipements de pointe appartenant à des centaines de petites entreprises, le gouvernement fédéral a souligné que cela n’accédait à aucune information et n’affectait aucune fonction légitime des routeurs. Et les propriétaires de routeurs peuvent supprimer les mesures d’atténuation en redémarrant les appareils, même si cela les rendrait susceptibles d’être réinfectés.

Le déchaînement industriel de Volt Typhoon va se poursuivre

Volt Typhoon (alias Bronze Silhouette et Vanguard Panda) fait partie d'un effort chinois plus large visant à infiltrer les services publics, les entreprises du secteur de l'énergie, bases militaires, entreprises de télécommunications, et les sites industriels afin d'implanter des logiciels malveillants, en prévision d'attaques perturbatrices et destructrices sur toute la ligne. L’objectif est d’être en mesure de nuire à la capacité de réponse des États-Unis au cas où une guerre cinétique éclaterait à propos de Taiwan ou de problèmes commerciaux en mer de Chine méridionale, ont averti Wray et d’autres responsables cette semaine.

C'est une croissance une rupture avec les opérations habituelles de piratage et d'espionnage de la Chine. « La cyberguerre axée sur des services critiques tels que les services publics et l'eau indique une fin de partie différente [de celle du cyberespionnage] », déclare Austin Berglas, responsable mondial des services professionnels chez BlueVoyant et ancien agent spécial de la division cyber du FBI. "L'accent n'est plus mis sur l'avantage, mais sur les dégâts et les forteresses."

Étant donné que les redémarrages des routeurs exposent les appareils à une réinfection et que Volt Typhoon dispose certainement d'autres moyens de lancer des attaques furtives contre sa carrière d'infrastructures critiques, l'action en justice ne sera forcément qu'une perturbation temporaire pour l'APT - un fait que même le Le FBI l'a reconnu dans sa déclaration.

"Les actions du gouvernement américain ont probablement perturbé considérablement l'infrastructure de Volt Typhoon, mais les attaquants eux-mêmes restent libres", a déclaré Toby Lewis, responsable mondial de l'analyse des menaces chez Darktrace, par courrier électronique. "Cibler l'infrastructure et démanteler les capacités des attaquants conduit généralement à une période de calme de la part des acteurs où ils se reconstruisent et se réorganisent, ce que nous allons probablement voir maintenant."

Néanmoins, la bonne nouvelle est que les États-Unis sont désormais « au courant » de la stratégie et des tactiques de la Chine, déclare Sandra Joyce, vice-présidente de Mandiant Intelligence – Google Cloud, qui a travaillé avec le gouvernement fédéral sur la perturbation. Elle dit qu'en plus d'utiliser un botnet distribué pour déplacer constamment la source de leur activité afin de rester sous le radar, Volt Typhoon réduit également les signatures que les défenseurs utilisent pour les traquer à travers les réseaux, et ils évitent l'utilisation de fichiers binaires qui pourraient être utiles. considérés comme des indicateurs de compromission (IoC).  

Pourtant, « une activité comme celle-ci est extrêmement difficile à suivre, mais pas impossible », explique Joyce. "Le but de Volt Typhoon était de creuser tranquillement pour une éventualité sans attirer l’attention sur lui-même. Heureusement, Volt Typhoon n'est pas passé inaperçu, et même si la traque est difficile, nous nous adaptons déjà pour améliorer la collecte de renseignements et contrecarrer cet acteur. Nous les voyons venir, nous savons les identifier et surtout nous savons renforcer les réseaux qu’ils ciblent.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet