A Feds megerősítette a Volt Typhoon SOHO botnetjének távoli megölését

Az amerikai bűnüldöző szervek megzavarták a Volt Typhoon néven ismert, hírhedt, Kína által szponzorált kibertámadási csoport infrastruktúráját.

A fejlett tartós fenyegetés (APT), amelyet az FBI igazgatója Christopher Wray mondta ezen a héten „e korszak meghatározó kiberfenyegetése”, amely a kompromittálással létrejött burjánzó botnet kezeléséről ismert. rosszul védett kis irodai/otthoni irodai (SOHO) routerek. Az állam által támogatott csoport indítópultként használja más támadásokhoz, különösen az Egyesült Államok kritikus infrastruktúrája ellen, mivel a botnet elosztott jellege megnehezíti a tevékenység nyomon követését.

Azután Volt Typhoon leszerelését jelentették a Reuters a hét elején, amerikai tisztviselők megerősítette a végrehajtási intézkedést tegnap későn. Az FBI a támadó parancs- és irányítási (C2) hálózatát utánozta, hogy távoli kill switch-et küldjön a csoport által használt „KV Botnet” rosszindulatú szoftverrel fertőzött útválasztóknak – jelentette be.

Az FBI közleménye szerint a bíróság által engedélyezett művelet törölte a KV Botnet kártevőt az útválasztókból, és további lépéseket tett a botnettel való kapcsolatuk megszakítására, például blokkolta a kommunikációt a botnet vezérlésére használt egyéb eszközökkel.

Hozzátette, hogy „a KV Botnetet alkotó útválasztók túlnyomó többsége Cisco és Netgear útválasztó volt, amelyek sebezhetőek voltak, mert elérték az „élettartam végét”; vagyis a gyártójuk biztonsági javításai vagy egyéb szoftverfrissítései már nem támogatták őket.”

Míg a kisvállalkozások százai által birtokolt élfogaszatba némán belenyúlni riasztónak tűnhet, a Feds hangsúlyozta, hogy nem fér hozzá információhoz, és nem volt hatással az útválasztók legitim funkcióira. A router-tulajdonosok pedig az eszközök újraindításával törölhetik az enyhülést – bár ez érzékenyebbé tenné őket az újrafertőződésre.

A Volt Typhoon ipari tombolása folytatódik

A Volt Typhoon (más néven Bronze Silhouette és Vanguard Panda) része egy szélesebb körű kínai erőfeszítésnek, hogy beszivárogjanak a közművekbe, az energiaipari vállalatokba, katonai bázisok, távközlési cégek, valamint ipari telephelyeken a rosszindulatú programok megtámasztása érdekében, felkészülve a bomlasztó és pusztító támadásokra. A cél az, hogy rontsa az Egyesült Államok reagálási képességét arra az esetre, ha kinetikus háború indulna ki Tajvan miatt, vagy kereskedelmi problémák lépnének fel a Dél-kínai-tengeren, figyelmeztetett Wray és más tisztviselők a héten.

Ez egy növekedés elhagyása Kína szokásos hack-és spy műveleteitől. „A kritikus szolgáltatásokra, például a közművekre és a vízre összpontosító kiberhadviselés más végkifejletet jelez [mint a kiberkémkedés]” – mondja Austin Berglas, a BlueVoyant professzionális szolgáltatások globális vezetője és az FBI kiberrészlegének korábbi különleges ügynöke. "Már nem az előnyökön van a hangsúly, hanem a sebzésen és az erődökön."

Tekintettel arra, hogy a router újraindítja az eszközöket az újrafertőződés előtt, és azt a tényt, hogy a Volt Typhoonnak minden bizonnyal más módjai is vannak, hogy lopakodó támadásokat indítson kritikus infrastrukturális kőbányája ellen, a jogi lépés minden bizonnyal csak átmeneti zavart jelent az APT számára – ez a tény még a Az FBI közleményében elismerte.

"Az amerikai kormány intézkedései valószínűleg jelentősen megzavarták a Volt Typhoon infrastruktúráját, de maguk a támadók szabadon maradnak" - mondta Toby Lewis, a Darktrace fenyegetéselemzésért felelős globális vezetője e-mailben. „Az infrastruktúra megcélzása és a támadók képességeinek lebontása általában egy csendes időszakhoz vezet a szereplők részéről, amikor újjáépítik és újraszerelkeznek, amit valószínűleg most is látni fogunk.”

Ennek ellenére a jó hír az, hogy az Egyesült Államok most már „ráfogott” Kína stratégiájához és taktikájához – mondja Sandra Joyce, a Mandiant Intelligence – Google Cloud alelnöke, amely a Fed-szel együtt dolgozott a zavaron. Elmondja, hogy amellett, hogy elosztott botnetet használnak tevékenységük forrásának folyamatos eltolására, hogy a radar alatt maradjanak, a Volt Typhoon csökkenti a védők által a hálózatokon keresztüli vadászatra használt aláírások számát is, és kerüli az esetlegesen megállt binárisok használatát. a kompromisszum indikátoraként (IoC).  

Ennek ellenére „az ilyen tevékenységek nyomon követése rendkívül nehéz, de nem lehetetlen” – mondja Joyce. "A Volt Typhoon célja az volt, hogy csendesen beásszon egy esetleges esetre anélkül, hogy felhívná magára a figyelmet. Szerencsére a Volt Typhoon nem maradt észrevétlen, és bár a vadászat kihívást jelent, már alkalmazkodunk az intelligenciagyűjtés javításához, és meghiúsítjuk ezt a színészt. Látjuk, hogy jönnek, tudjuk, hogyan kell azonosítani őket, és ami a legfontosabb, tudjuk, hogyan kell megerősíteni az általuk megcélzott hálózatokat.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/endpoint-security/feds-confirm-remote-killing-volt-typhoon-soho-botnet